给大家分享一个我最近发现的一个漏洞。并发漏洞。 通常我们测试短信轰炸主要是放到burp的repeater,尝试多次发送,如果成功则证明存在。 有时程序会做判断,同一个手机号一分钟内只能发一次,并且每次发送时都会校验自己一分钟内有没有发送过,如果放到repeater,重放第二次就会被拦截,会提示一分钟之后才能继续发送。 首先说一下我们通过repeater重放的这种叫做同步并发,虽然同一个数据包被重复发送了很多次,但是他是有序的发送,如果发完第一个包后程序对第二个包做限制的话,第二个包也就无法重放成功了,通常的开发防御…