1.暴力破解(针对无验证码或者验证码易识别的登录界面)
2.sql注入
3.任意密码重置,任意密码注册。
4.四位数的短信验证码,0-9999(可爆破)
5.界面反馈有用信息(反馈过于详细)
比如一个用手机验证码登录的界面,若果先验证手机号存不存在,那么就可以通过
爆破将其是否注册的手机号暴露出来进而泄露用户(比如羊毛党)
危害如:
(1)假如我是你们企业的竞争者,我可以跟这些手机号发广告,进而拉取本公司客户
(2)假如我是做黑产的,我可以给这些手机号发送诈骗短信,钓鱼
(3)撞库攻击,如把这些手机号放在自己的社工库中查询,进而匹配相应密码
等等等等危害。
网友评论