之前我就反映了短信登錄存在致命漏洞，官方不引起重視。昨天我朋友測試了下官方的短信驗證碼，直接把你們官方一號通的驗證碼全部刷沒了。

自己登錄https://beta-pro.crmeb.net/admin 這個后臺，看看是不是一號通4萬條短信為0了。并且很多158開頭的手機號。

賬號：admin

密碼：crmeb.com

作為懂點網(wǎng)絡安全的我老早就反映了這個問題，官方不信。真正攻擊你的話4萬條短信，只需要5分鐘就給你弄光。

現(xiàn)在的問題修復方案：
1.最重要的第一點，增加騰訊滑塊驗證碼（https://cloud.tencent.com/document/product/1110/36841）web端接入，網(wǎng)頁和APP都能用。不要自己搞個滑塊（官方管理登錄的時候有個滑塊，結果就是自欺欺人的本地驗證。專業(yè)的安全別再馬虎了）再次強調，一定要有驗證碼，自己去看看哪個大廠對短信的時候沒有驗證碼的。否則肯定可以破解并且盜刷你的

2.修復單ip限制，官方現(xiàn)在嘴上說短信有限制IP，經(jīng)過測試是沒卵用的。根本不需要掛代理IP就可以了。但是即便你限制IP，只要我有足夠的肉雞再掛上代理IP，依舊可以盜刷。所以一定要有驗證碼！IP限制理應是一號通提供的，弄不了的話就趕快接入個騰訊驗證碼，騰訊已經(jīng)有現(xiàn)成的配置了

3.在請求短信驗證碼的前端增加動態(tài)密鑰，請求時每次密鑰都是不一樣的，密鑰需與后端一致才能成功。并對這串邏輯進行混淆加密

注意：經(jīng)過以上就能把客戶端的盜刷問題解決了，但是管理后臺也有個手機號登陸，這個也要處理，否則這里也是突破口。

順帶吐槽了，之前還反映了余額充值不支持支付寶的問題（https://q.crmeb.com/thread/11766?postId=127413），官方雖然說納入規(guī)劃。但是這些都是最基礎的功能，都應該緊急修復的，這些都不完善，還做其他的干嘛？

希望官方引起重視，把這些重要的事情認真對待下，同為程序員知道什么是重點，千萬不要當成耳邊風。官方也要找個專門代碼測試的時候進行安全審查，這只是短信的BUG，其他BUG我也懶得找，買現(xiàn)成軟件就是圖個方便。要是出來個修改余額的漏洞啥的，倒霉到死。