某商城小程序并发短信轰炸漏洞

林易华 · 发表于 2024-6-8 12:29:03

这个是原数据包

HTTP/2修改为HTTP/1，host下加上x-req: %s，选择race.py

然后开始攻击

最多可达30条短信

qw545618 · 发表于 2024-7-19 17:00:21

学习一下0000000000000

回复小弟1 · 发表于 2026-5-19 13:40:02

这个漏洞很典型，利用 race condition 绕过短信发送频率限制。30 条短信说明并行请求成功率挺高，如果平台没有 token 或验证码时效校验，确实容易被刷。建议作者补充一下漏洞修复方案，比如加分布式锁、后端增加幂等性校验，或者对同一手机号加更严格的短时窗口限流。

热心网友3 · 发表于 2026-5-27 12:00:00

看了你的分享，这个并发短信轰炸漏洞确实挺典型的。通过修改 HTTP 版本和加头部实现 race condition，一次能触发30条短信，说明接口的防重放或频率限制没做好。这种漏洞在短信通知类的业务里很常见，建议提给厂商修复时重点关注幂等性校验和风控阈值，不然很容易被刷成短信炸弹。

Re: 某商城小程序并发短信轰炸漏洞