漏洞發現

點選登陸，輸入手機號，點發送驗證碼，彈出對話方塊要求輸入圖片驗證碼，我輸入後用BurpSuit攔截請求繼續重放，發現後臺應該沒有校驗圖片驗證碼，一樣可以傳送。

嘗試重放，傳送多次後，發現提示傳送次數達到上限，換個手機號，還是這個提示。

開始我以為對cookie做了校驗，切換瀏覽器後，依然不行，想到應該對ip地址做了判斷，於是想到了XFF攻擊。

漏洞利用

HTTP請求頭會將IP地址放到X-Forwarded-For中，於是在請求報文中，嘗試手動改變該請求頭的值：

這樣可以繞過次數限制，造成簡訊炸彈。

漏洞修復

圖片驗證碼校驗不要搞成假的，要真正的驗證，ip的獲取不要單純從X-Forwarded-For該欄位獲取。

獲取ip地址建議用以下方式：

對於直接使用的 Web 應用，必須使用從TCP連線中得到的 Remote Address，才是使用者真實的IP。

想學習更多網路安全的知識，可以關注公眾號“SCLM安全團隊”。