首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

手机号重复绑定漏洞

0x01 漏洞描述 - 手机号重复绑定漏洞 - 许多网站在用户注册时都会要求用户绑定手机号或者邮箱进行注册,通过绑定手机号和邮箱常用于用户忘记密码时接收验证码来判断是否本人操作。...一般一个手机号限定绑定一个用户账号,如果一个手机号可同时绑定多个账号,可能造成账户信息泄露、账号身份被盗用的风险。...以下是遇到过的一个案例,此处注册用户绑定手机号时没有对手机号进行短信验证。 先注册第一个ceshi123用户,使用手机号137******41绑定该账号。...在使用ceshi456用户密码找回功能时,此案例中只需要填写用户名和绑定手机号,系统就会返回关于此手机绑定的所有用户信息。...0x04 漏洞修复 禁止同一手机号可被多个账户绑定,限定一个手机号只能绑定一个账户。

1.4K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    绑定手机号性能测试

    最近遭遇了绑定手机号相关的压测需求,有了手机号登录的经验和测试数据,这次算起来比较简单。...最重要的是难点就是要求开发配合调整配置已经在上一期文章:手机号验证码登录性能测试中问题解决了,绑定手机号唯一的难点就是如何在单账号绑定的过程中不断切换手机号,而且保证最后账号的绑定手机号还是一开始的14...业务逻辑: 请求发送验证码接口,发送成功(未绑定手机号,用户登录状态)可以获取到登录的一个参数traceNo 使用用户登录校验令牌、traceNo、短信验证码、手机号请求绑定手机号接口 基本的校验规则如下...解决方案: 限制条件已经做成可配置,可以随时更改重启服务即可 选中14号段,用户手机号=14+uid 测试环境固定验证码 uid是9开头的,所以单个用户的绑定手机号在149和148之间切换,149为初始状态...,这里并没有使用每次换一个新手机号,第一是怕出现偶然重复,第二是数据维护不容易 测试方案: 将发送验证码和绑定手机号两个接口放在一起压测,需要准备一批测试用户 单个线程绑定一个用户,然后不停地发送验证码和绑定手机

    1.3K20

    项目中业务绑定手机验证手机号的实现

    在进行设置自动转发,增删来信规则,修改密码等操作时,增加必须绑定手机并且验证手机号的安全认证操作.在这个过程中使用控制反转的设计模式封装一个单独的类可以灵活的复用代码和调整逻辑 首先定义一个SecureTel...并且可以直接在配置文件中对这个类里面的属性进行控制,方便在进行业务调整时不去修改类内部的逻辑 上面是在代码层面的设计,下面是在业务的层面介绍一下 1.请求过来后,因为在这个逻辑中是不会有高并发的情况,直接查询数据库绑定手机表...,判定是否已经绑定手机.如果没有绑定手机直接返回对应的错误码 2.绑定手机情况下,要去memcache查询是否已经验证过了,key就是"c:xxxx@xxxx.com",这个key的过期时间是一天,如果有值...,说明验证过了,没值就返回另一个错误码 3.在配置文件中,可以配置是否开启这个手机验证功能,防止在短信接口不能用时,影响用户操作,可以直接关闭所有业务的验证功能.这个配置对应 SecureTel类中的一个属性...,其他方法对这个属性进行判定 4.在配置文件可以配置验证后的过期时间,这个在测试中可以进行灵活修改,让测试人员短期可以多次测试. 5.前端根据不同的错误码,进行不同的弹窗,绑定手机的弹窗和验证手机的弹窗

    94830

    从苹果手机安全设计聊一聊安全手机

    安全手机从功能上讲是指对手机特定资源进行加密保护,具体说就是比如通话加密、短信加密、文件加密等。 从软件的系统层次上讲安全手机的实现需依赖于从底层到上层的各个层面的安全功能实现。...从各个厂商实现的角度上讲,不同的安全加密手机所实现的安全层次不一样,比如有些加密手机从软件的角度上对应用的保护,强调APP上数据的保护、有些加密手机增加了安全元件SE,因此可以做到更高的安全性、有些加密手机通过深度定制化...浅谈三星KNOX安全解决方案 再谈三星KNOX安全解决方案 华为安全手机主打金融级安全,依赖于华为海思麒麟系列芯片形成了SE+TEE方案。比如前期介绍的手机盾应用方案就是在华为手机上实现的。...黑莓手机是国外的安全手机著名品牌,从软硬件层面都有完整的方案。 8848手机借助王石着实火了一把,除了贵之外还是贵啊! 海信手机,借助于芯片级的安全防护措施,以及双系统方案。...中兴手机,采用四位一体的安全方案,其天机系列主打政务市场。 360手机,其Q5系统去年发布,安全功能上几乎包含了所有的安全技术。 金立,安全手机逆袭品牌。

    2K80

    通过QQ号获取绑定手机

    导语 偶有奇想,我们可以通过手机号来搜索获取其对应的QQ号,那么,反过来呢? 一.缩小范围 由于手机号属于隐私数据,腾讯QQ并没有直接给出通过QQ号查找对应手机号的接口。...此时,手机号便是所寻找的 三、总结 通过QQ号查询绑定手机,我们总共用到了两个信息以及一个前提,即QQ号和归属地,前提是QQ号绑定手机。...第一次更新 在上文中,已经提出了一种通过QQ号来获取绑定手机号的方法,下面将对上文中的不足之处加以补全。...支付宝重置登录密码界面 在上图中,我们可以看到其已经显示了绑定手机号的前三位+后四位。 根据这个方法,由于各个网站“找回密码”的机制不尽相同,我们可以将范围进一步缩小。...通过PS查看照片的位置信息 总结 主要提供了一种进一步缩小范围的思路,以此为基础,我们可以在一小时之内就能确定与QQ号绑定手机号。

    35.8K102

    手机厂商做安全手机安全软件要另谋他路了?

    EMUI5.0还有一个亮点是安全,最近出现了不少专门打“安全牌”的手机手机安全真的有那么重要吗?...不过,这并不意味着手机没有安全问题,事实上,手机安全问题正在变得更加严峻。...这些变化已悄然改变安全产业的格局,从EMUI5.0强调安全来看,未来,在手机安全这件事情上手机厂商将做得越来越多,而手机安全软件公司能做的越来越少。...手机厂商开始接管移动互联网安全 华为很早就有涉足手机安全,曾推出华为手机管家,这与腾讯手机管家等软件相比,并无太大不同,都是集合了软件管理与安全守护的工具型应用。...360做手机也是希望能够与硬件结合实现底层安全。 2、手机安全还有一个关键部分是云端安全。 与PC不同,手机应用分发是中心式的,同时许多数据都要同步到云端,因此云端安全手机安全不可或缺的部分。

    1.3K60

    腾讯安全发布《2020年上半年手机安全报告》,揭示手机安全四大趋势

    与此同时,新基建加速推进,网络基础设施变得更加复杂,漏洞无处不在,各端口网络安全成为万物互联的基础。手机作为用户连接世界的接口,安全风险形势牵动用户个人信息、财产安全。...近日腾讯安全联合腾讯手机管家、腾讯安全移动安全实验室发布《2020年上半年手机安全报告》(以下简称《报告》),对手机病毒、垃圾短信、骚扰电话、恶意网址、风险WiFi以及骗局发展趋势进行分析解读,揭示上半年手机安全形势...腾讯手机管家建议在手机连接公共WiFi上网冲浪时,注意甄别WiFi是否安全,不要点击色情、博彩网络弹窗等,可使用腾讯手机管家识别拦截,避免造成隐私财产损失。...最后,针对手机病毒、垃圾短信、骚扰电话、恶意网址、风险WiFi等手机安全风险,以及日趋专业化的骗局套路,腾讯安全移动安全实验室专家建议:谨慎来路不明的二维码、弹窗、对话框中的链接等,避免误下病毒APP或误入风险网址...可以借助腾讯手机管家等专业安全软件对以上手机安全风险进行识别、拦截、查杀,守护手机信息、财产安全

    75840

    手机使用私人的dns保护手机网络安全

    文章配图: ---- 前言:DNS安全是网络安全第一道大门,如果DNS的安全没有得到标准的防护及应急措施,即使网站主机安全防护措施级别再高,攻击者也可以轻而易举的通过攻击DNS服务器使网站陷入瘫痪。...---- 手机端演示DOT的DNS加密 机型:redmi note10pro 系统:miui14 演示:使用dnspod提供的dot:dot.pub 怎么找到这个私人的dns设置呢?...DOH地址 阿里云 dns.alidns.com https://dns.alidns.com/dns-query 腾讯云 dot.pub https://doh.pub/dns-query 360安全...但是和这个没关系,我推荐的只是手机上的私人DNS而已。...---- 总结 首先要使用这个dot之前要确定自己的手机是否支持私人dns的选项,如果支持那就是万事大吉,反之不支持的话那你就看看本文章就行了,就是图一乐,如果你的手机支持你也不用这个dns那也没有关系

    6.3K50

    保护手机安全,这几招很有用!

    1、合理使用密码 手机密码是最基础、最重要、最有效的安全防护手段,一定要设置。 很多中老年手机用户,缺乏安全意识,加上不熟悉操作,所以会不设密码。建议身边亲友予以协助和指导。...4、定期杀毒 利用系统自带的安全软件,或者行业知名安全软件,对手机进行防护。 定期(每月一次)进行手机整机安全扫描,清理隐患。...平时,建议提前开启手机查找功能(手机绑定的系统云账号密码一定要设复杂,且牢牢记住,防止被别人破解锁定)。平时也建议定期云备份一下手机数据,防止手机损坏或丢失后,造成数据损失。...9、挖掘手机安全功能 大家买了新手机之后,要注意多研究一下手机自带的安全防护和隐私保护功能。 现在手机厂商在安全方面提供的技术很多,考虑也很全面。...前几天OPPO发布的Find N3手机,还内置了独立的国密安全芯片,估计以后也会成为趋势。 合理利用手机厂商提供的这些安全防护技术(一些App及功能),既方便手机使用,也提升了手机安全性。

    24930

    保护手机安全,这几招很有用!

    1、合理使用密码 手机密码是最基础、最重要、最有效的安全防护手段,一定要设置。 很多中老年手机用户,缺乏安全意识,加上不熟悉操作,所以会不设密码。建议身边亲友予以协助和指导。...4、定期杀毒 利用系统自带的安全软件,或者行业知名安全软件,对手机进行防护。 定期(每月一次)进行手机整机安全扫描,清理隐患。...平时,建议提前开启手机查找功能(手机绑定的系统云账号密码一定要设复杂,且牢牢记住,防止被别人破解锁定)。平时也建议定期云备份一下手机数据,防止手机损坏或丢失后,造成数据损失。...9、挖掘手机安全功能 大家买了新手机之后,要注意多研究一下手机自带的安全防护和隐私保护功能。 现在手机厂商在安全方面提供的技术很多,考虑也很全面。...前几天OPPO发布的Find N3手机,还内置了独立的国密安全芯片,估计以后也会成为趋势。 合理利用手机厂商提供的这些安全防护技术(一些App及功能),既方便手机使用,也提升了手机安全性。

    37420

    手机APP漏洞测试安全方案支持

    目前在国内很多项目都有手机端APP以及IOS端,但对于安全性问题无法确保,常常出现数据被篡改,以及会员金额被篡改,或是被入侵和攻击等问题,接下来由Sinesafe渗透测试工程师带大家更深入的了解如何做APP...无线网络攻击(窃听通信内容、假冒基站、域名欺诈、网络钓鱼)恶意代码(流氓行为、资源消耗、恶意扣除、隐私盗窃、远程控制、欺骗欺诈、系统损坏、恶意传输)移动应用代码逆向工程(获取关键算法思想,窃取敏感数据)非法篡改手机...安全启动链。数据保护。数据加密和保护机制。地址空间布局的随机化。代码签名。沙盒机制。 移动应用安全保护机制及技术方案。移动应用安全加固。...通信会话安全机制的检测。敏感信息保护机制的检测。日志安全策略检测。交易过程安全机制的检测。服务器认证机制检测。访问控制机制的检测。数据防篡改能力检测。测试防止SQL注入的能力。反钓鱼安全能力检测。...App安全漏洞检测,目前国内做安全漏洞检测的公司如下SINESAFE,鹰盾安全,绿盟,大树安全等等。

    1.2K30

    测试全球最安全手机Blackphone

    它内置的诸多专业软件和服务帮助用户为隐私保驾护航,除了硬件,这个价格购买的还包括很多软件服务: 2 年 Slient Circle 安全语音、视频通话、短信服务,再加上 3 个一年其他手机同等服务...两年每个月 1GB 的专用私密网络,以及匿名搜索 两年 SpiderOak 云服务,每个月高达 5GB Blackphone 手感很轻,重量仅为 119g,第一次启动需要设置安全向导,PIN 码或者解锁密码...另外,为了保护本地数据,它还具备很多主动防御的机制,它绑定了专业的 Wi-Fi 管理工具,可以避免被陌生网络攻击。...它还绑定了 SpiderOak 云文件共享,可连接手机和笔记本,但这种连接是单向的,手机可以访问电脑文件,并邮件之,而电脑则不能访问手机文件。...为了测试实际安全性,Ars Technica 还特意模仿了恶意攻击,包括通过 Wi-Fi 来窃取数据,监听通讯信息等,最后确实一无所获,结论是 Blackphone 并非浪得虚名。

    2.6K90

    手机盾设计相关安全问题

    我们知道手机盾的两大作用是:证书管理和转账。 证书管理是指证书的下载、更新、删除。转账是指银行应用APP进行转账汇款操作。我们的安全设计必须围绕着这两部分来进行。我们今天来着重聊聊这两个步骤。...我们来回顾一下在IFAA体系中,手机终端产线阶段预置了一对公私钥,保存在RPMB中,公钥安全地方式上传到IFAA服务器中,同时IFAA TA预置了IFAA服务器的公钥。...因此双方的身份认证就变得十分简单,简单的说在注册发起时手机终端用自己的私钥签名数据向IFAA服务证明这是一台真实的手机,用IFAA的公钥加密数据确保只能是IFAA服务器才能解密数据。...手机盾中虽然已经在产线阶段预置了applet和密钥对,但是没有建立绑定关系。也就是说SE中的公钥事先并未上传到服务器中。所以银行APP首先会从SE中申请公钥,并上传到服务器。...使用TUI来进行流程安全保证,使用SE中的签名来保证交易信息安全

    95670

    手机数据传输安全分析

    所以,这些信息则让我们的智能手机成为黑客眼热的宝库。 普通用户的安全概念 最重要的是,我们中大多数人相信手机中的数据是绝对安全的。...毕竟手机制造商曾向我们保证过,而且他们也给我们提供了安全补丁和更新升级包。 我们自己也会采取措施来保护自己的隐私,比如自定义安装固件、挖掘操作系统机制、刷机获得root权限,以便更好地操控手机等等。...同时,我们还会使用一些自以为安全便捷的软件。 大多数用户并不会对手机进行深度挖掘,他们会设置PIN码、一个复杂的密码,或者设置指纹扫描,同时会坚持使用官方应用商店,这似乎就足够了。...那我们这么看,你可以取出厂商信息、固件细节,这些可以帮助你分析设备的安全。你可以发现手机设备主人的电话号码,但这只需要用它打下你自己的号码就行。...开发者可能会忘了禁用开发者模式或者调试模式,也可能安装了隐藏的手段,在后台收集和传输手机用户的数据。 尽管手机制造商付出了巨大努力,但是绝对安全的移动设备几乎是不可能存在的。

    1.2K100
    领券