破解手機驗證碼的四種“姿勢”丨幫選科技

破解手機驗證碼的四種“姿勢”丨幫選科技

在生活中經常會碰到要求輸入手機驗證碼的情景,例如註冊賬號、找回密碼、異地登錄等,對黑客而言這是非常討厭的技術,有沒有方法可以破解呢?目前,主流的破解收到如下所示:

方法1:利用過濾不嚴漏洞入侵

所為過濾不嚴就是網站沒有做好安全細則規劃,驗證碼模塊無法發揮正常作用,黑客隨意輸入驗證碼就可以獲得通過,多見於新上線的網站和小網站。如此黑客就可以利用漏洞可以批量註冊馬甲賬號,或者知道受害者的賬號和密碼就可以重置數據,令受害者無法登錄自己的賬號。

方法2:利用無限制漏洞作惡

有的網站系統考慮不周到,設計驗證碼模塊沒有考慮黑客因素。例如網站系統設定為每隔60秒就可以向指定手機發送短信,沒有發送次數限制、沒有對手機號碼的限制,於是可通過編寫Python腳本來計算短信下發時間間隔就可以實現短信轟炸某個人的手機,令一個人徹底崩潰——有的黑客利用這個手法來進行敲詐或者給非法人士充當打手。

破解手機驗證碼的四種“姿勢”丨幫選科技

短信轟炸代碼

方法3:利用未綁定漏洞搞鬼

正常情況下,短信驗證碼只能使用一次,但如果用戶的賬號和手機號碼沒有綁定,且網站系統沒有設定驗證碼與手機號碼綁定,那麼就可以出現一部手機在一定時間間隔內接到兩個驗證碼都可以用,或者一部手機接到的驗證碼另外一部手機也可以用。那麼黑客就可以遠程盜取受害者的驗證碼,在自己的手機上使用。

方法4:暴力破解驗證碼

短信驗證碼一般由4位或6位數字組成,如果網站系統或者手機APP服務器未對驗證時間、次數進行限制,就存在暴力爆破的可能(不一定可以成功,但理論上是可行的,且成功率較大)。通過黑客攻擊抓包,再將短信驗證碼字段payloads取值範圍設置為000000-999999就可以進行暴力破解,根據返回響應包長度判斷是否爆破成功。

破解手機驗證碼的四種“姿勢”丨幫選科技


分享到:


相關文章: