某注册页面存在手机短信验证码绕过

某注册页面存在手机短信验证码绕过的情况

存在原因 ：设置的验证码超时时间为30分钟，而且没有错误次数限制。

发给手机的验证码由6位数字组成，用burp爆破测试

但是该网站存在网站防火墙，在爆破出结果想去继续注册的时候发现被网站防火墙拦截了，可以换一个ip进行绕过即可(进行手机开热点，换了个ip，绕过了防火墙，最后也继续注册成功)

漏洞危害：

1.被利用去批量注册用户

扩展思考：在注册存在手机验证码绕过的情况，这代表在“忘记密码”处也可很有可能存在验证码被绕过的情况，这样的话就会导致用户的密码可以被黑客重置，威胁用户的账户安全。

（在此处因为时间原因，没有深入进行测试）

 

由于该漏洞是本人刚刚发现的，还未通知管理员修复，所以此处不透露网站地址。