几个edu并发漏洞~

前情提要：新手小白src记录，各位大佬勿喷~~~

edu内心独白

偶尔某天刷文章看到一个并发漏洞的测试，发现好久没有测试过并发漏洞了，所以去edu逛一圈~
收集资产，发现三个大学存在短信轰炸，而且都是证书站，不知道被交过没，也不知道edu里面短信轰炸算不算中危，不然就要有证书了~ _ ~!
希望没被人交过，让我捡个漏

漏洞原理：

说白了就是多线程引发的安全问题，没有对部分操作进行操作串行化

漏洞利用

这个更简单，就是bp的trobo插件，直接多线程发送请求，该插件原理也很简单，就是多线程脚本同时发送请求
推荐文章：并发推荐文章

漏洞描述

1.第一个是某大学的招聘系统，在注册界面发送验证码时存在并发漏洞，且并发不关，验证码不停~

直接抓包，发送到turbo插件，然后加%s参数

然后开始攻击，手机一直接受到验证码

2.第二个是一个大学的附属中学的后台登陆界面

该发送验证码处存在两处逻辑缺陷，第一处是未注册即可给手机号发送验证码，第二是存在并发漏洞即短信轰炸

重复上述操作，接收到大量验证码

3.第三个是一个大学的档案利用平台

这个更奇葩，我都没有注册用户，居然还能找回密码，并发存在找回密码的功能点里面

同样重复上述操作，收到大量验证码~

总结

总而言之，遇到这种可能存在并发的地方试一试就好了，也就几分钟的时间，找到不就赚到了！！！
最后来一句，通过一个也行啊，最好是个中危啊，球球了~~~