短信轰炸漏洞：

什么是短信轰炸漏洞：厂商在对信息发送的次数，时间没有做限制，或者只在前端做了限制，导致可以无限制发送信息，简单的说就是发送短信/邮件的包可以无限制的发送

免责声明

⚠特别说明：此教程为纯技术教学！严禁利用本教程所提到的漏洞和技术进行非法攻击，本教程的目的仅仅作为学习，决不是为那些怀有不良动机的人提供技术支持！也不承担因为技术被滥用所产生的连带责任！⚠

漏洞产生的位置：

登录，注册，找回密码，绑定手机/邮箱，修改账号。。。。一切需要验证的位置。

![image-20240101235512918](

简单bypass思路：

1.尝试在mobile参数后面加上%20（即空格）

2.尝试在mobile后面加上字母等

3.尝试对参数进行多次叠加

4.利用调用接口绕过短信&邮箱轰炸限制

5.修改Cookie值绕过短信&邮箱轰炸限制

6修改IP绕过短信&邮箱轰炸限制

有些同样是验证当前ip的，如果当前ip短时间内获得短信或者邮件频繁，或者达到一定次数的话就会出现限制，那么就可以利用修改ip或者代理ip来绕过限制。

7.利用大小写绕过邮箱轰炸限制

前面说到了关于加空格的绕过限制，同理邮箱也可以使用，但是还有一种方式可以绕过邮箱轰炸限制，就是通过修改大小写,通过修改邮箱后面的字母大小写就可以绕过限制，比如参数是这样的：

Email=xxx@qq.com 当次数达到限制时。随便修改一个字母为大写：

Email=xxx@Qq.com 就可以绕过限制

8.修改返回值绕过短信&邮箱轰炸限制

比如发送成功返回值是success,发送失败返回值是error,那么当达到次数后，可以通过修改返回值为正确的返回值：success,从而绕过限制，达到发送成功的目的、