记一次重放验证码的条件竞争

文章预览

一次验证码轰炸的发现—条件竞争 看着网站挺好怼的，于是就看了看它的验证码这一块 先看看它的正常的响应包 重复发送，做了防护。 使用常见的手法进行绕过  1.换行 –失败 2.加空格或者 + 号  失败  body=contact%3D%2013888888888%20%26type%3Dgetverifycode%26cmd%3D- 1 = = =false body=contact%3D+ 13888888888 %20%26type%3Dgetverifycode%26cmd%3D- 1 = = =false …. 3.加分号， 加逗号  --失败 body =contact %3 D13888888888;13888888888 %26 type %3 Dgetverifycode %26 cmd %3 D-1 = = =false 差不多可以确定是电话后面加的是非空格字符的是不会发送，直接显示手机号错误，  4.加+86  或者86 5.在常见思路都失败的情况下，我想到可不可以用数据库的空白字符去干扰它….. 有那么多空白字符 试试呗… 然后当我把线程放到30的时候，重新再跑的时候，进一步确认了这样一个问题 问题就出来了。按照刚才的思路，不可能 ………………………………