我的验证码是多少_百度知道
我的验证码是多少
我有更好的答案
8585485 250
采纳率：21%
为您推荐：
其他类似问题
您可能关注的内容
验证码的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。　　手机验证码在web应用中得到越来越多的应用，通常在用户登陆，用户注册，密码重置等业务模块用手机验证码进行身份验证。针对手机验证码可能存在的问题，收集了一些手机验证码漏洞的案例，这里做一个归纳总结，在测试中，让自己的思路更加明确。常见的手机验证码漏洞如下：&
1、无效验证
2、客户端验证绕过
3、短信轰炸
4、验证码爆破
5、验证码与手机号未绑定
0X01 无效验证
　　有验证码模块，但验证模块与业务功能没有关联性，此为无效验证，一般在新上线的系统中比较常见。
　　获取短信验证码后，随意输入验证码，直接输入两次密码，可成功更改用户密码，没有对短信验证码进行验证，可能导致CSRF等问题。
案例二：任意用户注册
　　第一步，利用自己的手机号接收验证码进行验证，下一步跳转到一个设定密码的页面
　　第二步，抓包，篡改手机号，使用任意手机号进行注册
问题剖析：业务一致性存在安全隐患，身份验证与密码修改过程分开，验证无效。
参考链接：https://woo.49.gs/static/bugs/wooyun-.html
　　　　 & &https://woo.49.gs/static/bugs/wooyun-.html
0X02 客户端验证绕过&
　　客户端验证是不安全的，可能导致任意账号注册、登录及重置任意用户密码等一系列问题。
案例一：直接返回明文验证码
　　点击获取收集验证码，监听到两条json数据，可以发现验证码就藏在ticket里面，输入9360即可登陆成功。
案例二：返回密文验证码
　　验证加密后返回客户端，用户解密即可获取验证码。
案例三：拦截替换返回包
　　第一步，使用正常账号修改密码，获取验证码通过时服务器返回数据，保存该信息
　　第二步，使用fiddler下断，之后点击确定，服务器会返回验证码错误之类的信息，使用{"MessageHeader":{"MessageID":"RSP036","ErrorCode":"S000","Description":"成功！"}}此信息进行替换后再执行，密码修改成功。
问题剖析：常见于APP等客户端软件，通过拦截替换返回信息，绕过客户端本地验证。
参考链接：吉祥航空可以绕过手机验证码修改任意账号密码&
　　 & &http://cb.drops.wiki/bugs/wooyun-.html
0X03 短信轰炸
　　短信轰炸是手机验证码漏洞中最常见的一种漏洞类型。
　　在测试的过程中，对短信验证码接口进行重放，导致大量发送恶意短信。
案例一：无限制，任意下发
案例二：有一定时间间隔，无限下发
　　每隔60秒可下发一条短信，无限下发，短信轰炸。在测试过程中，可通过编写Python脚本来计算短信下发时间间隔，实现短信轰炸。
#coding=utf-8
import json
import requests
import time
start_time = time.time()
count =input("Please input counts:")
phone =raw_input("Please inut your phone:")
while (i&count):
url= "http://xxxx.cn:9092/map/GenerationUpdate"
data=json.dumps({"headerInfo": { "functionCode": "randomcode4G"},"requestContent":{"phoneNumber":phone}})
header = { 'User-Agent' : 'Mozilla/5.0 (iP CPU iPhone OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Version/10.0 Mobile/14D27 Safari/602.1''Host': 'xxxx.com:9092'，
r = requests.post(url, data=data,headers=header,timeout=5)
result=r.content
if result.count('serviceCode":0'):
print 'Sending message : %d seconds ' % (time.time()-start_time)
#print 'send %s time'%(i)
0X04 验证码爆破&
　　短信验证码一般由4位或6位数字组成，若服务端未对验证时间、次数进行限制，则存在被爆破的可能。
　　输入手机号获取验证码，输入任意短信验证码，发起请求，抓包，将短信验证码字段设置成payloads取值范围为999进行暴力破解，根据返回响应包长度判断是否爆破成功。
0X05 验证码与手机号未绑定
　　一般来说短信验证码仅能使用一次，验证码和手机号未绑定，验证码一段时期内有效，那么就可能出现如下情况：
　　1、A手机的验证码，B可以拿来用
　　2、A手机在一定时间间隔内接到两个验证码，都可以用。（该问题可能为产品策略设定，参考链接：https://woo.49.gs/static/bugs/wooyun-.html）
　　检测接收验证码的手机号和绑定的手机号是否一致。
案例一：任意用户密码重置
　　1.使用自己手机号收取验证码
　　2.自己的验证码和对方的手机号填上，下一步城管设置新密码
&参考链接：
https://woo.49.gs/static/bugs/wooyun-.html
https://woo.49.gs/static/bugs/wooyun-.html
解决方案：
　　1.在服务器进行有效验证，手机号和验证码在服务器进行唯一性绑定验证。
　　2.在服务端限制验证码发送周期，设置时效，限制次数。
阅读(...) 评论()短信验证码有什么作用？ - 知乎有问题，上知乎。知乎作为中文互联网最大的知识分享平台，以「知识连接一切」为愿景，致力于构建一个人人都可以便捷接入的知识分享网络，让人们便捷地与世界分享知识、经验和见解，发现更大的世界。12被浏览<strong class="NumberBoard-itemValue" title="分享邀请回答1添加评论分享收藏感谢收起添加评论分享收藏感谢收起java，android相关
手机短信验证码的实现
网站或者移动端应用的手机验证码功能，现在应用到的地方非常多，但是具体实现都差不多，也比较简单，正好最近我们网站需要开发这么个功能。所以记录以下：
1 首先选择一家短信服务提供商，大概时六分一条吧，我们选择的是容联云通讯，然后他们会提供接口文档或者demo。
2 接口调用方式，可以使用http方式，就是直接在前端页面中访问某个url，并传入相关参数，也可以将jar文件添加导classpath，然后使用他们demo里的类即可。使用http方式本质上还是调用远端的sdk，这里选择sdk方式。
3下边是页面上的一些js，主要控制点击后在过60s才可以再次点击。
function send(){
var telphone=$("#tel").val();
if(telphone==""){
alert("请输入手机号");
$.post("/userCenter/GenerateAndSendTelValidateCode",{operate:"generateCode"},function(code){
sendTelCode(telphone,code);
$("#btnCode").attr("disabled", "disabled");
setMyTimeout();
function sendTelCode(telphone,code){
$.post("/userCenter/GenerateAndSendTelValidateCode",{operate:"sendTelCode",telphone:telphone,code:code},function(message){
if("success"==message){
alert("短信发送成功");
alert("短信发送失败");
function validTel(){
$.post("/userCenter/GenerateAndSendTelValidateCode",{operate:"getTelCode"},function(code){
if(""!=code){
var pageCode=$("#code").val();
var telphone=$("#tel").val();
var userId = $("#userId").val();
if(""==pageCode){
alert("请输入验证码");
$.post("/userCenter/GenerateAndSendTelValidateCode",{operate:"updateTelState",userId:userId},function(message){
if("success"==message){
alert("验证成功，保存配置后可以使用手机号登录了");
alert("短信验证失败");
var count = 60;
function setMyTimeout(){
if (count & 0) {
setTimeout(setMyTimeout, 1000);
$("#btnCode").val((count--) + "秒之后点击获取");
$("#btnCode").val("点击获取验证码");
$("#btnCode").attr("disabled", "");
2 对于服务器端：
主要生成验证码，发送验证码，不过短信模版需要自己上提供商网站操作。然后将应用id，模版id 账户传进去即可。
* Servlet implementation class GenerateTelValidateCode
public class GenerateAndSendTelValidateCode extends HttpServlet {
private static final long serialVersionUID = 1L;
private static final String account = CmsGlobals
.getCmsProperty("yuntongxin.account");
private static final String token = CmsGlobals
.getCmsProperty("yuntongxin.token");
private static final String appId = CmsGlobals
.getCmsProperty("yuntongxin.appId");
private static final String templateId = CmsGlobals
.getCmsProperty("yuntongxin.templateId");
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
String operate = request.getParameter("operate");
PrintWriter out = response.getWriter();
response.setContentType("text/charset=utf-8");
response.setHeader("Cache-Control", "no-cache");
HttpSession session = request.getSession();
if ("generateCode".equals(operate)) {
char[] rands = generateCheckCode();
String code = new String(rands);
session.setAttribute("validateNum", new String(rands));
out.print(code);
} else if ("getTelCode".equals(operate)) {
String sessionCode = (String) session.getAttribute("validateNum");
out.print(sessionCode);
} else if ("sendTelCode".equals(operate)) {
String telphone = request.getParameter("telphone");
String code = request.getParameter("code");
sendTelCode(telphone, code, out);
} else if ("updateTelState".equals(operate)) {
updateTelState(request, out);
out.flush();
out.close();
private void sendTelCode(String telphone, String code, PrintWriter out) {
HashMap&String, Object& result = null;
CCPRestSmsSDK restAPI = new CCPRestSmsSDK();
restAPI.init("sandboxapp.cloopen.com", "8883");
restAPI.setAccount(account, token);
restAPI.setAppId(appId);
result = restAPI.sendTemplateSMS(telphone, templateId, new String[] {
code, "1" });
System.out.println("SDKTestGetSubAccounts result=" + result);
if ("000000".equals(result.get("statusCode"))) {
HashMap&String, Object& data = (HashMap&String, Object&) result
.get("data");
Set&String& keySet = data.keySet();
for (String key : keySet) {
Object object = data.get(key);
System.out.println(key + " = " + object);
out.print("success");
System.out.println("错误码=" + result.get("statusCode") + " 错误信息= "
+ result.get("statusMsg"));
out.print(result.get("statusMsg"));
private void updateTelState(HttpServletRequest request, PrintWriter out) {
long userid = Long.valueOf(request.getParameter("userId"));
int result = 0;
result = SqlHandler
.excuteSQL("update userinfo set telphone_valid = 1 where userid = "
+ userid);
} catch (Exception ex) {
ex.printStackTrace();
if (result != -1) {
out.print("success");
HttpSession session = request.getSession();
LoginUserInfo user = (LoginUserInfo) session.getAttribute("user");
user.setTelphoneValid(1);
session.setAttribute("user", user);
out.print("error");
private char[] generateCheckCode() {
String chars = "2345679ACDEFGHGKLNPQRSTUVXYZ";
char[] rands = new char[4];
for (int i = 0; i & 4; i++) {
int rand = (int) (Math.random() * 28);
rands[i] = chars.charAt(rand);
protected void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
doGet(req, resp);
没有更多推荐了，
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！我的手机短信验证码是什么_百度知道
我的手机短信验证码是什么
我有更好的答案
你的短信验证码是你刚刚或最近申请登录或找回密码或其他类似情况下的手机短信验证码，建议想想最近操作过的网站。手机短信验证码是我们在登录或注册账户的过程中会经常遇到的，主要是为了安全方面的考虑，现在短信验证码的使用范围越来越频繁，忘记账户密码、找回账户密码、订餐、购物收到的到货提醒等等都是短信验证码的使用范围，越来越多的垃圾短信既方便了我们的生活也容易被垃圾短信烦恼。梦网云通讯平台,致力于以绿色短信为基础，秉承梦网科技“工匠精神“的价值理念，坚持致力于云通讯服务的研究开发和技术创新，从客户“互联网+”的实际需求出发，专注打造企业级品质，为客户提供7x24小时不间断的云通讯服务
由于短信验证码是网易公司通过手机服务运营商的网关向邮箱用户发送的，属于第三方短信服务，是否能够正常接收短信会受到短信网关和手机号码业务影响。
如果长时间收不到短信验证码，可能是以下原因导致：
原因一、获取次数超限
　　解决方法：每天只能免费获取2次验证码，如需更多请根据页面提示发送短信获取。
原因二、手机业务不支持
　　解决方法：目前已支持海外手机号码及中国三大移动运营商的所有号段。但部分携号转网用户因数据接口变动暂无法接收第三方短信，请致电网易客服热线咨询。
原因三、手机安全软件拦截（针对已安装安全软件的智能手机用户）
　　解决方法：打开手机安全软件，暂时关闭拦截功能，然后再次尝试获取验证码。
原因四、短信网关拥堵或出现异常
　　解决方法：短信网关拥堵或出现异常时会导致已发送的短信出现延时或丢失的情况，建议过段时间再尝试获取。
原因五、手机在境外使用或使用境外手机
　　解决方法：受手机服务运营商业务影响，手机在境外使用或使用境外手机都无法接收验证码，建议更换手机尝试。
原因六、周围的人可以正常使用，但自己始终收不到
　　解决方法：可能是手机本身的原因，建议将手机卡换到别人的手机上再次进行尝试。
如果您遇到页面提示“ 验证码错误 ”，建议您确认验证码输入是否有误，如果获取了多条验证码，请输入最后收到的验证码。
我的短信验证码是多少
为您推荐：
其他类似问题
您可能关注的内容
&#xe675;换一换
回答问题，赢新手礼包&#xe6b9;
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。