順豐快遞預(yù)約取件,存在短信ddos攻擊漏洞

前幾天,要寄一份合同給合作伙伴,選用了順豐快遞預(yù)約取件,主要操作界面如下:

填寫完畢,點擊提交,由于網(wǎng)絡(luò)卡,一直沒反應(yīng),就點擊了好幾次。成功后,手機(jī)收到了好多條短信。當(dāng)時由于手頭上還有其他事,就沒細(xì)看。內(nèi)心還在想,不就下個單嗎,至于發(fā)給我那么多短信嗎?體驗真差...

過了一會兒,接到了順豐快遞員的電話,把他接到公司后,他問我是不是要寄8份文件。我一臉懵逼的說:“啥?我只寄一份哎~”,正說著,他的那臺pos機(jī)呼呼的打出長長的一條單子....看著地上長長的單子,一瞬間我反應(yīng)了過來...本能的說了句“你們網(wǎng)站有漏洞!”

給快遞小哥解釋了一下,讓他取消掉了多余的訂單。期間我向他說明了現(xiàn)在網(wǎng)站預(yù)約取件存在的不足,并提出了完善建議:

(1)提交預(yù)約的時候,增添短信驗證的環(huán)節(jié),防止短信ddos攻擊

(2)點擊“預(yù)約”按鈕的時候,增添全局遮罩,防止因為網(wǎng)絡(luò)卡的過程中,用戶多次操作

說完,我就送走了一臉懵逼的快遞小哥~感覺跟他的對話好尷尬~嗯!都怪我太專業(yè)。

現(xiàn)在一起看看 順豐快遞預(yù)約取件 存在短信ddos攻擊漏洞吧,寫段簡單的js代碼就可以利用了,由于是測試,只循環(huán)了2次

運(yùn)行一下,被攻擊的手機(jī)就受到了兩條短信如下圖所示

有了這個漏洞,要是看誰不順眼,寫個無限循環(huán),對方手機(jī)估計就會被刷爆了~

希望順豐快遞的程序猿們趕緊去完善一下呢~

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

推薦閱讀更多精彩內(nèi)容