前幾天,要寄一份合同給合作伙伴蓝角,選用了順豐快遞預(yù)約取件阱穗,主要操作界面如下:
填寫完畢,點(diǎn)擊提交使鹅,由于網(wǎng)絡(luò)卡揪阶,一直沒反應(yīng),就點(diǎn)擊了好幾次患朱。成功后鲁僚,手機(jī)收到了好多條短信。當(dāng)時(shí)由于手頭上還有其他事,就沒細(xì)看蕴茴。內(nèi)心還在想劝评,不就下個(gè)單嗎,至于發(fā)給我那么多短信嗎倦淀?體驗(yàn)真差...
過了一會(huì)兒蒋畜,接到了順豐快遞員的電話,把他接到公司后撞叽,他問我是不是要寄8份文件姻成。我一臉懵逼的說:“啥?我只寄一份哎~”愿棋,正說著科展,他的那臺(tái)pos機(jī)呼呼的打出長長的一條單子....看著地上長長的單子,一瞬間我反應(yīng)了過來...本能的說了句“你們網(wǎng)站有漏洞糠雨!”
給快遞小哥解釋了一下才睹,讓他取消掉了多余的訂單。期間我向他說明了現(xiàn)在網(wǎng)站預(yù)約取件存在的不足甘邀,并提出了完善建議:
(1)提交預(yù)約的時(shí)候琅攘,增添短信驗(yàn)證的環(huán)節(jié),防止短信ddos攻擊
(2)點(diǎn)擊“預(yù)約”按鈕的時(shí)候松邪,增添全局遮罩坞琴,防止因?yàn)榫W(wǎng)絡(luò)卡的過程中,用戶多次操作
說完逗抑,我就送走了一臉懵逼的快遞小哥~感覺跟他的對(duì)話好尷尬~嗯剧辐!都怪我太專業(yè)。
現(xiàn)在一起看看 順豐快遞預(yù)約取件 存在短信ddos攻擊漏洞吧邮府,寫段簡單的js代碼就可以利用了荧关,由于是測試,只循環(huán)了2次
運(yùn)行一下褂傀,被攻擊的手機(jī)就受到了兩條短信如下圖所示
有了這個(gè)漏洞羞酗,要是看誰不順眼,寫個(gè)無限循環(huán)紊服,對(duì)方手機(jī)估計(jì)就會(huì)被刷爆了~
希望順豐快遞的程序猿們趕緊去完善一下呢~
