V-009: Mobile Login Endpoint Bypasses Captcha Protection 漏洞概述 JeecBoot 提供了两个登录接口: 1. :标准登录,需要验证码。 2. :移动端登录,不需要验证码。 该漏洞在于 接口完全跳过了验证码验证,且没有任何速率限制(Rate Limiting)、IP 封禁或账户锁定机制。攻击者可以利用此接口对任意用户进行无限次的暴力破解。 影响范围 产品:JeecBoot (v3.9.1 及更早版本) 严重程度:Medium 影响: 1. 暴力破解:无验证码、无速率限制、无锁定机制。 2. 凭证填充:可大规模测试字典。 3. 账户接管:可快速发现弱口令。 4. 绕过安全控制:主登录口的验证码保护被此接口绕过。 修复方案 1. 对 接口添加速率限制(例如:每 IP/账户 每分钟最多 5 次尝试)。 2. 实现账户锁定机制(连续 N 次失败后锁定)。 3. 为 添加验证码或 OTP 验证。 4. 如果该接口仅用于移动端,建议通过 API 密钥或应用签名进行校验。 5. 在 WAF/反向代理层实施 IP 级别的限流。 POC / 利用代码 1. 验证标准登录需要验证码 (失败) 2. 使用 mLogin 绕过验证码 (成功) 3. 暴力破解演示 (无速率限制) 4. 错误密码尝试 (无锁定) Payload 示例**