记一次短信轰炸漏洞，添柴不加火，如何避免被攻击？

声明 本次渗透测试已获得合法授权，本文仅用于网络安全技术学习与交流。严禁任何个人或组织将内容用于非法用途，由此产生的一切违法违规行为及后果，均与作者无关。 本文首发于微信公众号“希泽Sec” 前言 近期对多个漏洞进行了安全测试，仅该漏洞便于脱敏处理，特此先行记录。 整体思路 初始对目标系统进行访问，先排查未授权访问风险，过程中发现系统登录/注册页面。随后测试短信验证码接口是否存在轰炸漏洞，实测发现：成功发送一条验证码后，刷新当前页面即可绕过 60 秒发送间隔限制，可重复发起验证码请求。由此判断后端未做短信发送频率限制，该漏洞存在。 渗透测试 目标系统登录/注册页面如下： 刚开始用bp的验证码识别插件进行识别验证码，对同一个手机号多次请求，发现并不能成功发送验证码，多次测试发现好像是burp每次请求不能突破 60 秒发送的间隔限制。就想着用python脚本模拟人工请求，再根据此系统导入验证码识别模块，编写脚本。