之前我就反映了短信登錄存在致命漏洞，官方不引起重視。昨天我朋友測試了下官方的短信驗(yàn)證碼，直接把你們官方一號通的驗(yàn)證碼全部刷沒了。

自己登錄https://beta-pro.crmeb.net/admin 這個后臺，看看是不是一號通4萬條短信為0了。并且很多158開頭的手機(jī)號。

賬號：admin

密碼：crmeb.com

作為懂點(diǎn)網(wǎng)絡(luò)安全的我老早就反映了這個問題，官方不信。真正攻擊你的話4萬條短信，只需要5分鐘就給你弄光。

現(xiàn)在的問題修復(fù)方案：
1.最重要的第一點(diǎn)，增加騰訊滑塊驗(yàn)證碼（https://cloud.tencent.com/document/product/1110/36841）web端接入，網(wǎng)頁和APP都能用。不要自己搞個滑塊（官方管理登錄的時候有個滑塊，結(jié)果就是自欺欺人的本地驗(yàn)證。專業(yè)的安全別再馬虎了）再次強(qiáng)調(diào)，一定要有驗(yàn)證碼，自己去看看哪個大廠對短信的時候沒有驗(yàn)證碼的。否則肯定可以破解并且盜刷你的

2.修復(fù)單ip限制，官方現(xiàn)在嘴上說短信有限制IP，經(jīng)過測試是沒卵用的。根本不需要掛代理IP就可以了。但是即便你限制IP，只要我有足夠的肉雞再掛上代理IP，依舊可以盜刷。所以一定要有驗(yàn)證碼！IP限制理應(yīng)是一號通提供的，弄不了的話就趕快接入個騰訊驗(yàn)證碼，騰訊已經(jīng)有現(xiàn)成的配置了

3.在請求短信驗(yàn)證碼的前端增加動態(tài)密鑰，請求時每次密鑰都是不一樣的，密鑰需與后端一致才能成功。并對這串邏輯進(jìn)行混淆加密

注意：經(jīng)過以上就能把客戶端的盜刷問題解決了，但是管理后臺也有個手機(jī)號登陸，這個也要處理，否則這里也是突破口。

順帶吐槽了，之前還反映了余額充值不支持支付寶的問題（https://q.crmeb.com/thread/11766?postId=127413），官方雖然說納入規(guī)劃。但是這些都是最基礎(chǔ)的功能，都應(yīng)該緊急修復(fù)的，這些都不完善，還做其他的干嘛？

希望官方引起重視，把這些重要的事情認(rèn)真對待下，同為程序員知道什么是重點(diǎn)，千萬不要當(dāng)成耳邊風(fēng)。官方也要找個專門代碼測試的時候進(jìn)行安全審查，這只是短信的BUG，其他BUG我也懶得找，買現(xiàn)成軟件就是圖個方便。要是出來個修改余額的漏洞啥的，倒霉到死。