文章总结： 该文档记录了作者在实战中发现的一个逻辑漏洞利用案例。通过短信轰炸测试时意外触发验证码横向漏洞，导致可绕过验证机制实现任意用户登录和密码重置，漏洞已提交并修复。文章强调技术仅用于学习目的，提醒勿用于非法测试。 综合评分： 72 文章分类： WEB安全,实战经验,漏洞分析

实战逻辑漏洞（短信横向）利用

原创

L×K@y L×K@y

Quest安全团队

2026年5月15日 15:44 山东

在小说阅读器读本章

去阅读

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用

注：漏洞已提交平台，并且已修复

点一手忘记密码

yakit抓包，试了一下短信轰炸，显示操作成功但是发短信速率没达到要求。

于是想到之前看的文章，逗号拼接一个手机号，拼接的手机号会遭到短信轰炸

拼接了之后并没有受到短信轰炸，而是……

好家伙，危害直接加重了，验证码横向，造成任意用户登录和重置密码

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Quest安全团队 L×K@y L×K@y《实战逻辑漏洞（短信横向）利用》