揭秘短信轰炸内幕：遇到短信轰炸怎么破解？|界面新闻 · JMedia扫一扫下载界面新闻APP有些人曾为生活中的一些琐事的问题感到焦虑：被宿舍同学欺负，被老板拖欠工资！被骗子骗钱，很多人心底非常不爽，有一种想报复的冲动！但是报复不是硬碰硬，而是单纯地泄气。怎么发泄怒火？
可能很多人会想到这样一个段子：把对方号码写在大街上，在写两个大字&办证&。不过这个做法太绝，结果是不可控的，那有没有更加实际可控的&整人方案&，于是乎，方便高效的短信轰炸机应运而生！
很多人上网逛论坛、贴吧，经常看到10元一天，120元/月就能使用无限轰炸的帖子评论。那么，很多人会有疑问了，这个短信轰炸服务究竟是怎么回事呢？轰炸软件这种小工具也能做成生意吗？
今天，我们邀请了业内人士的阿东来讲讲这个神奇的软件，及其背后究竟是怎么一回事。
■口述丨东哥 程序开发人员&访谈/整理丨苏宇
我加入短信轰炸项目已经有两年了，凭借短信轰炸机这个&小风口&在互联网工具App领域中赚了一些小钱。
互联网的发展，使得越来越多的手机功能被开发，短信轰炸软件也随之诞生，轰炸机的应用场景是源于生活中的琐事，被骗子骗钱了怎么办？又找不到实人，用轰炸机炸到他怀疑人生。老板拖欠工资不让跳槽怎么办?炸到他妥协为止。遇到人渣怎么办?炸他七七四十九天，炸出美味炸出鲜。短信轰炸机之所以有市场，其实是迎合了人性邪恶地一面。
除了整蛊，还有另一种用途就是应用于非法敲诈。比如专门挑手机靓号进行轰炸，由于短信轰炸技术的不断更新升级，而靓号机主手头宽裕所以为了省事避免在其它生意方面造成损失往往会选择妥协，然而这只能得到短暂的停歇，隔断时间又被当成提款机提款。
崩溃！几千条短信验证码&炸&死你！
短信轰炸机这么牛，那它到底是一个什么玩意儿呢？说白了，短信轰炸机就是一个向&敌人&（同一个手机号）投放大量的平台验证短信，对&敌人&的生活进行骚扰的App，是不是很厉害？很多人会好奇，这个是怎么实现的呢？这里我通俗地把原理说一下：
这种软件的原理就是批量访问接口（平台网站分发短信的接口），每个网站都有他自己的短信接口，比如&输入手机号&点发送验证码，就会去访问这个的接口，然后就来验证码短信了，轰炸机就是利用这点，用内置的很多接口，无限访问这些接口，手机就会一直收到超多的注册短信。一些技术人员会将这些接口收集起来并制作成轰炸机。
接下来详细说说，我自己是怎么做轰炸机项目的。
背后的神秘推手：网站接口商！
做这个生意，首先要购买各大平台的短信接口。轰炸机的爆发时期接口相当多所以价格不贵，2000个最新短信接口就可以100元左右打包买到，如今价格翻了五倍。为什么呢？因为各大平台接口短信需要向服务商付款一条几分钱不等，而为了避免被利用，这时会采用一些限制技术并且不断更新接口等措施。
接口的需求造就了另一个黑产：接口商。接口商不断在网上抓包筛选出有用的接口并且打包出售给接口需求人员。一位老群主基本月入四五万，因为发展到现在基本业内接口全部出自他手。这获益于老群主的独特抓包技术。
软件的制作首先需要一套源码，源码分为安卓软件源码和网站源码，其次需要服务器和各大平台网站接口。源码在接口商那里就可以买得到，网页加安卓源码一套价格300元。
包月轰炸爽翻天！用户付费意愿很强烈！
一个轰炸机软件的主要投入包括：QQ群排名、服务器、软件源码、技术人员，再加几台电脑设备就够了。这就是做软件前期需要的所有投入了，门槛还是比较低的。
在这里面，软件宣传引流是最大的支出，常见的引流方式有在各大相关新闻下刷评论，以及各大论盘发广告。最主要的来自于QQ群。QQ群需要找人制造活跃度上城市排名，在城市里被搜索排第一。
一个群的租用费是400元。我一个月租了十几个群，分布十几个城市。只要搜索轰炸机就能搜索到，QQ群推广成本4000元左右，一般来说，十来个QQ群，去除&僵尸&人员大概有效用户数在1000人左右。
接下来，客服、软件授权维护成本是其次的。客服我请了三个兼职主要负责聊天引导，工资开销差不多4000左右，这套软件管理全自己负责。还有一部分投入是服务器，租用云服务器，因为时常同行攻击，所以经常需要换服务器，一个月开销2000多元。
说完成本就说下利润。一般用户支付方式是上917平台购买卡密进行充值，分为日卡一张10元，月卡一张120。购买日卡的比较多一个月销量四百来张，月卡销量三百多张。生意最好的时候，我一个月流水差不多五万，自己能净挣差不多3万多，当然这仅限于高峰时期，刚刚起步时，头月盈利也就一两千。
人生需解恨，轰炸一直在！
短信轰炸机其实是不愁买家的，关键问题是让用户找到这个东西，所以引流是这个项目的重中之重。现在各大App下载平台对于这类的App是直接封杀，不让上架的，因此没有哪个平台会推你的软件，软件推广全部靠自己。
另外一方面，同行竞争也相当激烈，同行之间相互攻击是常有的事情，导致运营成本的上升。短信轰炸是特殊的私人软件，基本是偷偷摸摸的生意，而且这些软件多是个人经营买卖，不会审查买家资格，所以经常被不法分子利用导致软件方引起法律纠纷，你经常会看到软件首页都会打上禁止用于非法用途的标语。
2015年项目短信轰炸机迎来大爆发，竞争激烈，随之而来的就是众多接口被限制，技术门槛，所以这个过程也挤走了许多竞争者。不过，过了&红海&期，这个行业的油水还是很足的，坚持到现在的人越来越吃香，毕竟人们的&解恨&的需求摆在那。至于这个行业能走多远，除了法律规范之外，更主要看市场上有没有出现更好的替代品。
变革家生意笔记：
1.轰炸机的应用场景是来源于生活中那些让人心烦的琐事，想要出一口&恶气&。短信轰炸机之所以有市场，其实是它迎合了人性邪恶地一面。
2.一般用户购买短信轰炸服务，支付方式是上917平台购买卡密进行充值，分为日卡一张10元，月卡一张120。购买日卡的比较多一个月销量四百来张，月卡销量三百多张。除去成本，老板能净挣差不多3万多元，而且用户付费意愿较高。
3.虽然短信轰炸这个项目被正规软件市场限制、不被法律认可，但是这个行业的油水还是很足的，坚持到现在的人越来越吃香，毕竟人们的&解恨&的需求摆在那。这个行业能走多远，除了法律规范之外，更主要看市场上有没有出现更好的替代品。
您至少需输入5个字评论 相关文章界面JMedia联盟成员推荐阅读最近被一些验证码短信搞的不胜其烦，也没有得罪任何人，咋解决？ - 知乎有问题，上知乎。知乎作为中文互联网最大的知识分享平台，以「知识连接一切」为愿景，致力于构建一个人人都可以便捷接入的知识分享网络，让人们便捷地与世界分享知识、经验和见解，发现更大的世界。4被浏览239分享邀请回答赞同 添加评论分享收藏感谢收起360手机新品京东悄然现身 高颜值强性能售价或2299元起
近日，细心的网友也许会发现，此前在网络上被传的沸沸扬扬的360手机新品，已悄然在京东某些铺面上预售。虽然红布蒙面，但仍然可以看出该新品有着窈窕素雅的造型，颜值可期。此外，确切消息表明，360手机新品的发布日期并非前期猜测的9月份，而是本月（8月份）。
7月31日，360手机总裁李开新在回答头条网友有关新品什么时候发布时，明确答复：“下个月”，确认360手机将于本月发布。不过，具体的发布日期并未透露。对此，某数码博主披露，新品的发布日期很可能是8月26日，他的这一猜测，与此前网络上流出的360手机新品将在8月底9月初推出的传闻相符。
目前，关于360手机新品的爆料及可以猜测的信息如下：
手机新品或沿续N5s、N6 Pro风格，采用玻璃机身设计，正面为18:9或19:9异形屏方案，屏幕尺寸应为6.5英寸或更大，当然，也不排除推出小屏版本的可能，毕竟对于喜欢单手持握的朋友来说，360手机N7采用的5.99英寸全面屏，仍然有着屏幕尺寸与握感均衡的优势，360手机或许会考虑到这一点，同时推出两个屏幕版本，以俘获尽可能多的用户芳心。
此外颜值方面，从现在网上流传出的新品真机设计图和京东预售页面透露出来的一鳞半爪看，360手机新品机身纤薄，颜值应远远超过360手机N7和N6系列。此前5月份发布的时候，360手机N7就因体型纤薄大气，受到用户欢迎。360手机新品此次有望在外型设计再度超越，成为性能与容貌俱佳的利器。
手机新品或采用当前中高端机型最热门的高通骁龙710处理器，同时也不排除有845处理器旗舰机型诞生的可能。
内存方面，可以确认的是360手机N7将从6GB大运存起步，存储容量应为64GB、128GB。确认的原因，是因为6GB运存和这两种存储内存，曾反复出现在360手机N6和N7机型中。
手机一向以大电池、长续航知名。这一特性，无论是其2016年发布的N4s、去年年底发布的N6，还是今年发布的N7身上都有很好地体现。在这几款机型上，360手机无一例外地为它们配备了内业罕见的5030mAh超大容量电池，正常用机环境中，续航两天毫无压力，并因此得到用户好评。
此次360手机新品或秉承这一基因，在续航方面继续有所体现。对此，不少科技大V披露，360手机新品将配备6000mAh大电池。不过，对于这一猜测，有网友表示怀疑。因为从网上流传的真机设计图和京东预售页面来看，360手机新品造型纤薄动人，容纳不少这么大的电池，这部分网友认为，360手机新品的电池容量应为与N7持平的5030mAh或4500mAh。
同时前期，网络上曾流传出一张真假难辨的所谓360手机新品拍照样张。从样张来看，画面清晰犀利，色彩自然，噪点控制良好，白平衡表现优异，整体质量相当不错。如果该图片为真的话，那就意味着，360手机新品在拍照方面的提升将值得期待。
目前，采用高通骁龙710处理器的小米8SE 6+64GB版的售价为1999元，360手机新品无论是整体性能、拍照还是颜值都有超越表现，可以推测出，360手机新品6+64GB版本的售价应为2299元或更高。
只是，上述信息仅限于猜测，360手机新品究竟如何？到底会为用户带来多少惊喜？所有谜底，恐怕只能等待发布会揭晓。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点刚刚给了个京东客服差评，结果人家给了我个短信，我也就呵呵了【李毅吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：30,829,406贴子：
刚刚给了个京东客服差评，结果人家给了我个短信，我也就呵呵了
金斧子财富专注6年私募基金研究,严格甄选基金经理旗下私募,深度调研私募基金,规避私募基金风险,解读2018下半年私募投资策略.
哥哥姐姐大家好，我是新来的，你们要爱我，不能打我，我会害怕的乖
贴吧拳王争霸赛中累计获取10场胜利,
哥哥姐姐大家好，我是新来的，你们要爱我，不能打我，我会害怕的乖
我是来找我的老婆的 我老婆在4天前被我日 跑了，她走失的时候穿着红色的背心，手里拿着一台黑色的苹果手机，长头发，眼睛大大的。
哦，对了，我的老婆长得有点像杨颖
还有，还有，我老婆以前是卖火车票的
麻烦大家看到我老婆跟我说一声，谢谢
怎么知道是京东
现在小学3年级的数学题真难。有一桶水，爸爸能喝25天，爸爸和儿子一同喝能喝20天，请问儿子 这一桶水能喝几天？
啊哈哈哈哈无情
不知道发什么好 但是发个滑稽一定没错
我是京东的客服
刚来贴吧是这样的
后来就变成这样了
现在都是这样子的
骂人我最喜欢
好像是差评超过几个就有说法
昨天吧里有个人发了淘宝的那个回的短信，真的很牛逼
没办法，又因为你要受处分了
警员问：“为什么老婆那么漂亮，还去票娼？”答：“虽然买了保时捷，谁敢保证出门不打车啊！”一问一答，解决了多少人心中积累已久的困惑。妻子匆匆赶到派出所，见了老公就是一个耳光问：家里有不？答：有。妻子接着一耳光又问：要时给不？答：给。妻子接着又一耳光再问：各种姿势能满足你不？答：能。妻子接着又是一耳光继续问：收过你钱没？答：没有。啪啪啪啪连续大耳光……妻子打完老公，又拿警员撒气：笑什么？他用公款了吗？警员答：没有。问：他是官员吗？答：不是。问：是潜规则吗？答：不是，问：算包二奶吗？答：不算。问：算通奸吗？答：不好说。妻子怒道：中记委都不管的事，你吃饱了撑的！接着转头又是给老公一耳光问：“为什么还去嫖？”老公深情的看着爱妻，流着眼泪答：“每天看你在外面已经那么累了，回家还要和我做，实在过意不去，我自己这点小事几百块钱就能解决，何苦劳累你，家是温暖的港湾，爱你就是让你回家能够好好休息！！！！
怎么投差评
我是来找我的老婆的 我老婆在4天前被我日 跑了，她走失的时候穿着红色的背心，手里拿着一台黑色的苹果手机，长头发，眼睛大大的。
哦，对了，我的老婆长得有点像杨颖
还有，还有，我老婆以前是卖火车票的
麻烦大家看到我老婆跟我说一声，谢谢
天猫给了你多少钱
有个人到北京，问我：你们北京人凭什么那么牛逼？我默默的深吸了一口气 ，笑着看了看他。他不服，学我的样子，也深吸了一口气。… 享年25岁。 ——《中国环境报》2015年最佳纪实文学小说获奖作品
什么行业都不容易
贴吧热议榜
使用签名档&&
保存至快速回贴【转载】短信轰炸机漏洞了解一下：手机验证码常见漏洞总结
一个网络安全爱好者，对技术有着偏执狂一样的追求。致力于分享原创高质量干货，包括但不限于：渗透测试、WAF绕过、代码审计、安全运维。
感谢Bypass授权转载，请扫描上方二维码关注Bypass，浏览更多文章。这篇总结了手机验证码相关的漏洞，很全面。我们经常见到的短信轰炸机就是利用其中一个漏洞。
手机验证码在web应用中得到越来越多的应用，通常在用户登陆，用户注册，密码重置等业务模块用手机验证码进行身份验证。针对手机验证码可能存在的问题，收集了一些手机验证码漏洞的案例，这里做一个归纳总结，在测试中，让自己的思路更加明确。常见的手机验证码漏洞如下：
1、无效验证
2、客户端验证绕过
3、短信轰炸
4、验证码爆破
5、验证码与手机号未绑定
0X01 无效验证
有验证码模块，但验证模块与业务功能没有关联性，此为无效验证，一般在新上线的系统中比较常见。
获取短信验证码后，随意输入验证码，直接输入两次密码，可成功更改用户密码，没有对短信验证码进行验证，可能导致CSRF等问题。
案例二：任意用户注册
第一步，利用自己的手机号接收验证码进行验证，下一步跳转到一个设定密码的页面
第二步，抓包，篡改手机号，使用任意手机号进行注册
问题剖析：业务一致性存在安全隐患，身份验证与密码修改过程分开，验证无效。
0X02 客户端验证绕过
客户端验证是不安全的，可能导致任意账号注册、登录及重置任意用户密码等一系列问题。
案例一：直接返回明文验证码
点击获取收集验证码，监听到两条json数据，可以发现验证码就藏在ticket里面，输入9360即可登陆成功。
案例二：返回密文验证码
验证加密后返回客户端，用户解密即可获取验证码。
案例三：拦截替换返回包
第一步，使用正常账号修改密码，获取验证码通过时服务器返回数据，保存该信息
第二步，使用fiddler下断，之后点击确定，服务器会返回验证码错误之类的信息，使用{"MessageHeader":{"MessageID":"RSP036","ErrorCode":"S000","Deion":"成功！"}}此信息进行替换后再执行，密码修改成功。
问题剖析：常见于APP等客户端软件，通过拦截替换返回信息，绕过客户端本地验证。
0X03 短信轰炸
短信轰炸是手机验证码漏洞中最常见的一种漏洞类型。
在测试的过程中，对短信验证码接口进行重放，导致大量发送恶意短信。
案例一：无限制，任意下发
案例二：有一定时间间隔，无限下发
每隔60秒可下发一条短信，无限下发，短信轰炸。在测试过程中，可通过编写Python脚本来计算短信下发时间间隔，实现短信轰炸。
#coding=utf -8
import json
import requests
import time
start_time = time. time()
count = input( "Please input counts:")
phone =raw_input( "Please inut your phone:")
while(i&count):
url= "http://xxxx.cn:9092/map/GenerationUpdate"
data=json.dumps({ "headerInfo": { "functionCode": "randomcode4G"}, "requestContent":{ "phoneNumber":phone}})
header = { 'User-Agent': 'Mozilla/5.0 (iP CPU iPhone OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Version/10.0 Mobile/14D27 Safari/602.1''Host': 'xxxx.com:9092'，
r = requests.post(url, data=data,headers=header,timeout= 5)
result=r.content
ifresult.count( 'serviceCode":0'):
print'Sending message : %d seconds '% ( time. time()-start_time)
# print'send %s time'%(i)
0X04 验证码爆破
短信验证码一般由4位或6位数字组成，若服务端未对验证时间、次数进行限制，则存在被爆破的可能。
输入手机号获取验证码，输入任意短信验证码，发起请求，抓包，将短信验证码字段设置成payloads取值范围为999进行暴力破解，根据返回响应包长度判断是否爆破成功。
0X05 验证码与手机号未绑定
一般来说短信验证码仅能使用一次，验证码和手机号未绑定，验证码一段时期内有效，那么就可能出现如下情况：
1、A手机的验证码，B可以拿来用
2、A手机在一定时间间隔内接到两个验证码，都可以用。
案例一：任意用户密码重置
1.使用自己手机号收取验证码
2.自己的验证码和对方的手机号填上，下一步城管设置新密码
解决方案：
1.在服务器进行有效验证，手机号和验证码在服务器进行唯一性绑定验证。
2.在服务端限制验证码发送周期，设置时效，限制次数。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点}