文章总结： 该文档记录了一次实战中的逻辑漏洞利用案例，攻击者通过短信验证码接口的逗号拼接手机号方式，意外发现验证码横向漏洞，导致任意用户登录和重置密码。关键发现是输入验证缺陷引发严重身份验证绕过，危害远超预期的短信轰炸。漏洞已提交并修复，建议开发人员加强接口参数校验和业务逻辑安全测试。 综合评分： 78 文章分类： WEB安全,漏洞分析,实战经验,渗透测试,安全工具

实战逻辑漏洞（短信横向）利用

原创

L×K@y L×K@y

Quest安全团队

2026年5月15日 15:44 山东

在小说阅读器读本章

去阅读

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用

注：漏洞已提交平台，并且已修复

点一手忘记密码

yakit抓包，试了一下短信轰炸，显示操作成功但是发短信速率没达到要求。

于是想到之前看的文章，逗号拼接一个手机号，拼接的手机号会遭到短信轰炸

拼接了之后并没有受到短信轰炸，而是……

好家伙，危害直接加重了，验证码横向，造成任意用户登录和重置密码

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Quest安全团队 L×K@y L×K@y《实战逻辑漏洞（短信横向）利用》