短信轰炸漏洞修复

0x00 漏洞背景

短信轰炸攻击时常见的一种攻击，攻击者通过网站页面中所提供的发送短信验证码的功能处，通过对其发送数据包的获取后，进行重放，如果服务器短信平台未做校验的情况时，系统会一直去发送短信，这样就造成了短信轰炸的漏洞。

攻击者通过填写他人的手机号，使用软件burpsuite的intruder功能重复提交发送短信的请求包，达到短时间内向他人的手机上发送大量垃圾短信的目的。

恶意攻击者可以利用漏洞攻击做到：

1. 可对任意手机号轰炸
2. 只可对当前手机号轰炸

0x01 修复思路

1、 合理配置后台短信服务器的功能，对于同一手机号码，发送次数不超过3-5次，并且可对发送的时间间隔做限制。

2、 页面前台代码编写时，加入禁止针对同一手机号进行的次数大于N次的发送，或者在页面中加入验证码功能，并且限制发送的时间间隔。

0x02 代码修复

1. 如果是使用第三方的库，请参考第三方的安全配置。
2. 如果是自研代码，请按照修复思路对代码进行调整。