白帽子您好,横向轰炸不收,故此忽略,感谢提交。如有更多疑问可咨询平台客服小姐姐(QQ:3459476393),非常感谢对漏洞盒子与互联网安全的支持,对此给您带来的不便我们深感抱歉。
收到上面一条信息,
才知道短信轰炸也分横向轰炸和纵向轰炸。
从字面上猜猜,大概如下意思。
就我遇到的,目前可被横向轰炸的短信接口还是很多的,尤其是在web页面中,不对发短信接口做一些必要的限制,
导致存在被无限调用和滥用的情况。
由于手机号格式还算比较固定,以1打头,中文11位等,可用代码、存储过程瞬时批量生成100w条手机号
现有的工具比如Jmeter,将生成的手机号通过csv配置文件导入,然后通过http请求发送。还可以开始一定的线程数,分分钟给100w个手机号发短信。
假设一条短信1分钱,那分分钟1w元就被人发短信发掉了,还都是垃圾短信,影响收到的人群。算是也不小啊~~【好吧只能说我穷,1w元我觉得很多啊】
纵向轰炸,我也遇到过,现在一些新的api直接调运营商接口,由运营商返回,这种反而较少;倒是web页面中的,尤其老的web系统,代码页面掺杂在一起,通过一些.ation,validateRegisterOTP.do方法发SMS的比较多。
无意看到网上有很多短信轰炸机的案例,某人为了整蛊别人,在页面上填写别人的手机号,导致别人不停地收到短信,而且收短信的短信发送号码不固定,想拉黑名单都不可以。关机又怕错过重要电话。何必啊~~
看了短信轰炸机的原理,有的人调用纵向轰炸接口,有的是横向接口,集成了网络上许多的发短信的接口~~
作为测试,只能说,发短信接口只有目的的,为了验证你的手机号码正确且真实存在,不能只满足这样的功能,还要防机器人,加上一些限制,不能将自己的发短信方法变成别别人利用的工具。
测试不能只测功能,要有想法。