（转） 某WIFI热点认证短信验证设计不当可绕过验证 用任意手机号码获取短信验证码

转自： http://www.hackdig.com/?05/hack-10053.htm

只要打开浏览器的开发者模式，点击获取验证码，就可以在网络交互中看到服务器返回的JSON，其中就包含验证码，手机号码随意收入都可以完成验证。

http://m.himofi.com/v2/

收入收到的JSON中的验证码，正常跳转。

修复方案：

加密或在发送验证码后保存在session中，而不是传给客户端。