前幾天,要寄一份合同給合作伙伴,選用了順豐快遞預(yù)約取件,主要操作界面如下:
填寫完畢,點擊提交,由于網(wǎng)絡(luò)卡,一直沒反應(yīng),就點擊了好幾次。成功后,手機(jī)收到了好多條短信。當(dāng)時由于手頭上還有其他事,就沒細(xì)看。內(nèi)心還在想,不就下個單嗎,至于發(fā)給我那么多短信嗎?體驗真差...
過了一會兒,接到了順豐快遞員的電話,把他接到公司后,他問我是不是要寄8份文件。我一臉懵逼的說:“啥?我只寄一份哎~”,正說著,他的那臺pos機(jī)呼呼的打出長長的一條單子....看著地上長長的單子,一瞬間我反應(yīng)了過來...本能的說了句“你們網(wǎng)站有漏洞!”
給快遞小哥解釋了一下,讓他取消掉了多余的訂單。期間我向他說明了現(xiàn)在網(wǎng)站預(yù)約取件存在的不足,并提出了完善建議:
(1)提交預(yù)約的時候,增添短信驗證的環(huán)節(jié),防止短信ddos攻擊
(2)點擊“預(yù)約”按鈕的時候,增添全局遮罩,防止因為網(wǎng)絡(luò)卡的過程中,用戶多次操作
說完,我就送走了一臉懵逼的快遞小哥~感覺跟他的對話好尷尬~嗯!都怪我太專業(yè)。
現(xiàn)在一起看看 順豐快遞預(yù)約取件 存在短信ddos攻擊漏洞吧,寫段簡單的js代碼就可以利用了,由于是測試,只循環(huán)了2次
運(yùn)行一下,被攻擊的手機(jī)就受到了兩條短信如下圖所示
有了這個漏洞,要是看誰不順眼,寫個無限循環(huán),對方手機(jī)估計就會被刷爆了~
希望順豐快遞的程序猿們趕緊去完善一下呢~