展开

关键词

手机号验证码登录性能测试

这两天遭遇了手机号登录相关的压测需求,算是比较棘手的。主要原因有两个,第一:之前从来没有接手过这个项目,不熟悉各种规则;第二:数据量偏大,需要开发配合协调校验规则。 业务逻辑: * 请求发送验证码接口,发送成功(已绑定的手机号,且有效的用户状态)可以获取到登录的一个参数traceNo * 使用traceNo、短信验证码手机号请求登录接口 基本的校验规则如下: * 手机号校验,排除一些不存在的号段,11位数字类型(接口传string类型) * 间隔(60s)内不允许发第二条短信,短信有效期同隔间 * 自然天不允许发10条以上的短信 * 验证码随机和traceNo必需从发送验证码接口获得 解决方案: * 限制条件已经做成可配置,可以随时更改重启服务即可 * 选中14号段,用户手机号=14+uid * 测试环境固定验证码 测试方案: * 将发送验证码和短信登录两个接口放在一起压测,需要准备一批测试用户 * 单个线程绑定一个用户,然后不停地发送验证码和使用验证码登录 * 增加基类属性phone和模块类属性lastTraceNo来完成参数传递 压测脚本: * threadmark用来标记任务的,我在模块方法里面返回了

95330

手机号验证码登录性能测试

这两天遭遇了手机号登录相关的压测需求,算是比较棘手的。主要原因有两个,第一:之前从来没有接手过这个项目,不熟悉各种规则;第二:数据量偏大,需要开发配合协调校验规则。 业务逻辑: 请求发送验证码接口,发送成功(已绑定的手机号,且有效的用户状态)可以获取到登录的一个参数traceNo 使用traceNo、短信验证码手机号请求登录接口 基本的校验规则如下: 手机号校验 ,排除一些不存在的号段,11位数字类型(接口传string类型) 间隔(60s)内不允许发第二条短信,短信有效期同隔间 自然天不允许发10条以上的短信 验证码随机和traceNo必需从发送验证码接口获得 解决方案: 限制条件已经做成可配置,可以随时更改重启服务即可 选中14号段,用户手机号=14+uid 测试环境固定验证码 测试方案: 将发送验证码和短信登录两个接口放在一起压测,需要准备一批测试用户 单个线程绑定一个用户,然后不停地发送验证码和使用验证码登录 增加基类属性phone和模块类属性lastTraceNo来完成参数传递 压测脚本: threadmark用来标记任务的,我在模块方法里面返回了

93330
  • 广告
    关闭

    腾讯云校园大使火热招募中!

    开学季邀新,赢腾讯内推实习机会

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    前端|利用手机号登录获取手机验证码

    利用手机号直接登录账号它省略的用户密码这一环节,直接采用验证码的形式进行用户身份验证,在一定程度上解决了因为用户个人原因造成的密码遗忘、丢失等情况,且对于用户个人的身份信息验证更为严格,更有利于保护用户账号安全 此外,利用手机号直接登录账号还可以满足产品的特殊需求。比如一些公司企业会事先给一些客户创建账号。这些客户来到平台时,直接输入验证码就可以进入使用了,而不需要补充密码,方便了用户登录。 我们至少需要对是否输入的是有效的手机号,输入的验证码正确与否进行验证。 实现步骤:①创建相应的文件,并在HTML5中引入;②利用HTML5代码对页面框架进行搭建;③利用css对样式进行调整;④利用JavaScript对验证码进行初始化;⑤判断是否输入的是有效的手机号;⑥判断输入的验证码是否正确 注意:发送的验证码:API+/手机号,审核时验证码应该是:API+/六位数字验证码/手机号 //当点击发送验证码的时候 $('.code1').click(function(){

    4K20

    一次挖漏洞时的突发奇想

    涉及漏洞,验证码通用、验证码爆破 思路 在有些网站中,登录处的验证码都做了防护无法爆破,而其他的一些地方验证码可以爆破,却没什么大用;但是有的时候两个页面的验证码是通用的,这时如果在一个网页里爆破出了验证码 他的危害就大了,可以进行修改密码,转账,换绑手机号等操作 复现 某网站的作者页面,注册一个作者账号后 先点击作者信息,然后进行手机号修改 输入目标手机号,点击获取验证码,然后验证码先随意填写,点击最下方的提交修改 不点击获取验证码,直接用7308,将密码修改为123456789 ? ? 这时再进入登录页面,就可以发现登录成功。 总结 由于验证码在三十分钟内有效,且两个页面可以共用一个验证码,这时有一个页面出现验证码爆破,另一个页面会直接沦陷。 因为对代码不是很熟悉,所以不知道在实现上验证码通用和不通用有什么区别,有知道的大佬还请指点一下。 ?

    21120

    有了这个神器,快速告别垃圾短信邮件

    前言 在日常生活中,我们时常会接收到一些垃圾短信和邮件,造成这种原因就是因为我们使用自己的手机号码在App上 注册了账号,导致手机号泄露,成为了别人发财的工具。 既不用担心泄露手机号码,也不会再接收到垃圾短信和邮件了。 Top 1.云短信 神器地址: https://www.materialtools.com/? page=1 它可以代替你的手机号进行注册,并且也会和接收到验证码,你只需要把上面能用的手机号输入到你想注册的app里面,然后发送验证就可以了。 ? 不过,它有一个缺陷就是我们用的手机号接收的验证码它会显示在这上面,基本所有用这个神器的人都能看到,就给人一种毫无隐私可言的感觉。不过为了能不接收垃圾短信,也无妨,毕竟问题不大。 ? 要注意的是,你的邮箱申请注册后它会提示你的邮箱是否可用,如果提示不可用就重新再设置一个,虽然很好用,但是遗憾的是,这个邮箱号只能保存十分钟十分钟过后会自动销毁,所以要是用这个邮箱号接收到什么重要的邮件那就赶紧保存吧

    39820

    密码重置姿势总结​

    修复建议:避免验证码返回到响应包中 放在服务端验证 ? 验证码爆破 验证码效验的时候,没有做次数时间限制(四位数十分钟是可以爆破出来的),可以使用枚举来猜测正确的验证码。使用burp进行爆破就好。 修复建议:采取错误次数限制,输入错误验证码五次后锁定用户半小时 ? 验证码未效验 服务器只判断验证码是否正确,没有判断是否与用户匹配。利用我的手机号接受验证码可以用过验证。 接收端可修改 重置密码时,凭证会发送到手机上,通过替换手机号,可以使用自己的手机号接受验证码。 修复建议:判断手机号验证码用户是否一致 用自己的账号正常走流程,到设置新密码处抓包 ? ? ? ? 然后在浏览器中另一个标签打开另外一个重置密码的页面: 输入手机号184821348xx: ? 填写验证码,然后下一步,这儿就不管了。

    40110

    如何读取redis的手机号验证码数据,实现自动化登录测试

    图片发送短信后,后端接口逻辑已把验证码缓存在redis, ! 图片在apifox上定义对应下发登录短信接口,短信登录接口 下载地址:www.apifox.cn图片图片这时候问题就来了,怎么样才能让apifox自动获取下发登录短信接口对应的手机号验证码,自动填充到短信登录接口的 图片2、解决思路方案一:后端通过接口返回验证码,下发短信接口后再调用该接口去获取验证码(正式环境需要屏蔽该接口,没办法自动化正式环境接口)方案二:apifox直接访问redis获取数据;这需要在apifox 连接配置    var redisConfig = "{"host":"192.168.181.130","password":"123456","database":0}";    // 获取当前登录的手机号 (e.message);}图片新增测试数据,这里新增手机号对应临时变量{{phone}} 图片注意: 需要打开测试数据开关,后点击运行 图片查看结果 !

    6610

    不就是个手机号+验证码登录功能嘛,有这么复杂吗?

    故事卡-126 作为用户,我可以通过手机号和短信验证码更方便的登录。 “对啊”,大壮感觉眼前一亮,说道,“后台在比对请求中的验证码和Redis中保存的这个用户手机号所对应的验证码的时候,不管匹不匹配,直接把Redis中的这个验证码作废。 我们目前只限制了一个手机号60秒内发一次验证码,却没有限制大量不同手机号同时发送的情况。” “那现在怎么处理比较好呢? 安全验收标准: 短信验证码有效期2分钟 验证码为6位纯数字 每个手机号60秒内只能发送一次短信验证码,且这一规则的校验必须在服务器端执行 同一个手机号在同一时间内可以有多个有效的短信验证码 保存于服务器端的验证码 ) 没成想,一个手机号+短信验证码登录的背后,还能牵扯出这么多事儿来。

    4.2K21

    Web安全Day10 - 重放攻击实战攻防

    例如,如下APP请求注册时可以使用手机号验证码注册登录,但是没有限制短信请求次数和时间间隔。 多次请求后可以在手机上看到请求到的短信 2. 暴力破解验证码 ​ 当我们申请修改账号密码等操作时,往往需要给手机号或者邮箱发送一个验证码,当需要修改他们或者越权操作的时候并不一定可以通过修改接收手机或邮箱来收到验证码,这时候可以尝试暴力破解验证码。 也就是这里并没有强制效验手机号验证码。也就存在了任意修改密码的可能,当然要是效验了手机号验证码的对应关系,也许就不可以了。 POST /userpwd? 例如,当错误次数连续达到五次的时候,暂时十分钟内不能登陆。 效验验证码和用户身份,某些重放攻击是利用了手机号验证码之间的不对应性,特别是在修改密码等处,这时候需要把验证码和请求的用户手机号做联系,当重放或者越权的时候根据验证码次数和对应关系来判断是否允许修改。

    79711

    国内外临时匿名邮箱及接收手机短信验证码网站

    主要是一些匿名、临时、一次性的邮箱地址,以及可以免费收发短信验证码手机号平台,方便注册各种账号时完全匿名、隐藏真实身份   而像核总这种遵纪守法的好公民,最多也就随便注册下小号,避免泄漏个人真实信息, 临时、一次性、匿名邮箱 http://24mail.chacuo.net/   临时电子邮箱,十分钟邮箱(10分钟),临时邮,临时Email,快速注册Email,24小时邮箱 http://www.yopmail.com 、短信验证码平台 http://www.smszk.com/   在线短信验证码接收,手机验证码短信接收平台,最好用的免费云短信网站! //yunduanxin.net/   免费接短信,在线接收短信验证码 - 云短信帮助您从世界任何地方接收手机短信 ? 国外手机号、短信验证码平台 http://hs3x.com/   Receive SMS Online For Free - Free Virtual Numbers   美国,英国,奥地利,瑞典,比利时

    102K75

    手机号验证

    /* 功能:手机号验证 日期:2013-05-30 */ #include<stdio.h> #include<stdlib.h> #include<string.h> int main(void) { gets(num); //验证是否含有非数字字符 for (i=0;i<strlen(num);i++) { if (num[i]<48||num[i]>57) { printf("手机号码不能含有非数字字符 ,请重新输入:"); gets(num); i=0; continue; } } //验证手机号码的长度是否小于11位 if (strlen(num)<11) { printf("手机号码的长度小于11 位,请重新输入:"); continue; } //验证手机号码的长度是否小于11位 else if(strlen(num)>11) { printf("手机号码的长度大于11位,请重新输入:"); continue; } //从此处开始验证是哪个公司的手机号 for (i=0;i<3;i++) { tmpNum[i] = num[i]; } tmpNum[3]=0; //验证是否是移动的 for

    74420

    Java 手机号正则

    48050

    Java验证手机号

    在实际开发中我们需要对手机号格式校验,以下是对中国手机号校验的实现。 public class PhoneUtils { /** * 中国手机号码 */ private static Pattern CHINESE_PHONE_PATTERN = Pattern.compile("((13|15|17|18)\\d{9})|(14[57]\\d{8})"); /** * 是否是有效的中国手机号码 *

    79830

    uniapp获取手机号

    image.png open-type String 开放能力 注意 事件务必使用vue语法,比如下面的获取手机号示例 <button type="default" open-type=" getPhoneNumber" @getphonenumber="decryptPhoneNumber">获取手机号</button> ? e.target.iv) { uni.showModal({ content: '获取手机号失败!' fail: res => { store.dispatch('getInfo', false) uni.showModal({ content: '获取手机号失败

    2.4K10

    手机号归属地

    ($ch); $data=simplexml_load_string($data); if(strpos($data,'http://')){ echo '手机号码格式错误 >" method="get"> 手机号码: <input type="text" name="number" /> <input type="submit" value="提交" /> </form

    73380

    一次短信验证码整改实验

    】判断只能发送一次短信,此处将 【手机号码+业务】作为 map 的 key 存储在上下文中 可以灵活配置【手机号码+业务】 每天能够获取短信的次数 校验短信 增加【手机号+短信验证码】的匹配 校验成功, 解决方案: 在 【手机号+业务】中增加一个图形验证码的key, 在校验之前,先校验用户当前提交的手机号和图形验证码是否匹配 匹配:清空用户当前的图形验证码,需要重新请求图形验证码接口才能进行下一次请求 图形验证码(不开放不做校验) * 2. 图形验证码有效时间 * 3. 【手机号-业务】 key-name 的配置 * 4. = "%s-%s-captcha"; /** * 手机号-业务模块-图形验证码-请求key 的格式标注用户当前模块的请求 图形验证码 每个手机号对应业务一份 */ 图形验证码 * 图形验证码用于短信接口请求使用,超过一定时间,图形验证码失效 * 【手机号-业务-图形验证码】:key * 【手机号-业务-图形验证码-超时时间】:

    27130

    常用验证码之滑动验证码|图形验证码

    写在前面 这里是常用验证码的第三篇——滑动/图形验证码。 在前两篇已经实现了随机验证码和算术验证码,感兴趣的可以去看一下~ •常用验证码之字符串验证码•常用验证码之算术验证码 除了这两种常用的验证码之外,现在最经常用到的还有几种,比如滑动验证,图片验证等,这一类的验证码一般借助于第三方来处理即可 比如图形验证码: ? check_img.png 本篇纪录两种常用验证码的第三方调用方式: •滑动验证码•图形验证码 滑动验证码 1. 示例 ? check_slide.gif 2. •搜索栏搜索关键词:验证码 然后在结果中点击进入【人机验证(验证码)】 ? •搜索栏搜索关键词:验证码 然后在结果中点击进入【验证码】 ?

    5.4K20

    手机验证码常见漏洞 总结 任意用户密码重置

    image.png 案例二:任意用户注册 第一步,利用自己的手机号接收验证码进行验证,下一步跳转到一个设定密码的页面 第二步,抓包,篡改手机号,使用任意手机号进行注册 问题剖析:业务一致性存在安全隐患 image.png 0X05 验证码手机号未绑定 一般来说短信验证码仅能使用一次,验证码手机号未绑定,验证码一段时期内有效,那么就可能出现如下情况: 1、A手机的验证码,B可以拿来用 2、A手机在一定时间间隔内接到两个验证码 (该问题可能为产品策略设定,参考链接:https://woo.49.gs/static/bugs/wooyun-2012-08679.html) 检测接收验证码手机号和绑定的手机号是否一致。 案例一:任意用户密码重置 1.使用自己手机号收取验证码 2.自己的验证码和对方的手机号填上,下一步城管设置新密码 image.png 参考链接: https://woo.49.gs/static/bugs ,手机号验证码在服务器进行唯一性绑定验证。

    3.4K21

    相关产品

    • 验证码

      验证码

      天御验证码(Captcha)针对网站、APP 开发者提供安全智能的验证码服务,基于腾讯多年技术沉淀,天御验证码最大程度地保护业务安全;同时,便捷的设计减少交互,让开发者不再因验证码难以识别而担心用户流失。

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券