Bug 曝光台 微信公共平台注册 bug: 验证码不应该输入后,就立即检查其有效性

程航 · 2019年04月29日 · 最后由 你好了吧 回复于 2019年05月04日 · 2582 次阅读

Steps:

  1. 打开微信公共平台注册页面: https://mp.weixin.qq.com/cgi-bin/readtemplate?t=register/step1_tmpl
  2. 输入一个有效的邮箱号;
  3. 点击「激活邮箱」,输入验证码;
  4. 在邮箱验证码中输入一个随机的六位数字,比如 100000,此时显示 "验证码错误,请填写正确的验证码",但此时我还没有输入密码,还没有提交; 微信公共平台注册bug

预期:
输入密码,点击"注册"按钮后才验证 "验证码的有效性"。

实际:
还没有提交,就显示 "验证码错误,请填写正确的验证码"。

会导致什么后果?
在邮箱中可以看到邮箱验证码是 30 分钟有效的,那完全可以用一个陌生的邮箱,然后穷举 100000 - 999999,让第三方陌生人用自己的邮箱来注册微信公共平台。

共收到 3 条回复 时间 点赞

现在很多平台都是这样的吧,这样可以快速让用户知道有没有输入正确,有些 APP 都是把验证码单独放一个页面,验证正确就自动跳转;至于你说的暴力破解问题,这个肯定是限制了的。

这个不行吧,一般验证码是存在 redis 里的,你邮箱和验证码不匹配,错误多了,估计就失效了,不存在穷举的可能,如果真有这个漏洞,那就是很大的事故了

你这个提问,多虑了

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册