web短信注册漏洞探索（成佩涛黑客）

从网上简单搜索，可以找到如下可能可以被利用的短信发送接口（以下仅提供思路）

1、聚美优品（无防御）

http://www.jumei.com/i/account/signup/#phoneform


2、网易注册（每天限定IP发送次数）
http://reg.email.163.com/unireg/call.do?cmd=register.entrance


3、手机注册（发送手机短信前输入验证码）
http://passport.soufun.com/register.aspx


4、金山注册（同一IP五分钟内只能获取一次手机验证码）
http://my.xoyo.com/register/index/#


5、阿里云（每分钟只能发送一次）
https://passport.alipay.com/register/register.htm?fromSite=8¶ms=%7B%22site%22%3A%228%22%2C%22ru%22%3A%22http%3A%2F%2Fwww.net.cn%2Fcore%2Faliyun%2Flogin_callback%3Freturnurl%3Dhttp%253A%252F%252Fwww.net.cn%252Fpromotion%252Fsendmail%252F%253Futm_campaign%253DAD100%22%7D


6、久游注册（估计也是通过时间限制）
https://passport.9you.com/mobile_regist.php


7、小米注册（无限制）
https://account.xiaomi.com/pass/register


8、115网盘（时间限制）
http://www.115.com/


9、新浪注册（无限制）
http://weibo.com/signup/signup.php


10、新浪短信登录

http://weibo.com/login.php?url=http%3A%2F%2Fweibo.com%2Fmessages%3Fc%3Dspr_qdhz_bd_baidus_weibo_s02

接下来，通过抓包或者解析http请求查看短信发送的请求路径，找到之后。

你可以写个多线程程序并通过httpclient模拟浏览器请求利用接口进行攻击。

假设遇到一些ip限制的，你可以通过Ip代理工具定时更换网络Ip，可以通过程序自行实现更换Ip。

程序实现更换Ip的教程在后面博文会写出。

喜欢研究的同学，自己去亲测下吧！

有疑问者，请留言。