前几天,要寄一份合同给合作伙伴,选用了顺丰快递预约取件,主要操作界面如下:
填写完毕,点击提交,由于网络卡,一直没反应,就点击了好几次。成功后,手机收到了好多条短信。当时由于手头上还有其他事,就没细看。内心还在想,不就下个单吗,至于发给我那么多短信吗?体验真差...
过了一会儿,接到了顺丰快递员的电话,把他接到公司后,他问我是不是要寄8份文件。我一脸懵逼的说:“啥?我只寄一份哎~”,正说着,他的那台pos机呼呼的打出长长的一条单子....看着地上长长的单子,一瞬间我反应了过来...本能的说了句“你们网站有漏洞!”
给快递小哥解释了一下,让他取消掉了多余的订单。期间我向他说明了现在网站预约取件存在的不足,并提出了完善建议:
(1)提交预约的时候,增添短信验证的环节,防止短信ddos攻击
(2)点击“预约”按钮的时候,增添全局遮罩,防止因为网络卡的过程中,用户多次操作
说完,我就送走了一脸懵逼的快递小哥~感觉跟他的对话好尴尬~嗯!都怪我太专业。
现在一起看看 顺丰快递预约取件 存在短信ddos攻击漏洞吧,写段简单的js代码就可以利用了,由于是测试,只循环了2次
运行一下,被攻击的手机就受到了两条短信如下图所示
有了这个漏洞,要是看谁不顺眼,写个无限循环,对方手机估计就会被刷爆了~
希望顺丰快递的程序猿们赶紧去完善一下呢~
