关于手机号码的安全问题汇总

任意修改其他用户的绑定手机号码

某些网站在用户注册的时候,要求用户绑定自己的手机号码,常常使用的逻辑是:用户注册完成之后,输入自己的手机号码,获取一条验证码,然后将用户名、手机号码、验证码一起提交给服务器保存,网站服务器端没有验证绑定手机号码的用户名是否和之前注册的用户名一致,导致安全问题的产生,攻击者能够抓取提交给服务器的这个数据包,将用户名修改为其他用户的用户名,将其他用户的账号绑定到自己的手机,然后重置其他人的密码。