系统存在致命性漏洞，官方速来处理！

之前我就反映了短信登录存在致命漏洞，官方不引起重视。昨天我朋友测试了下官方的短信验证码，直接把你们官方一号通的验证码全部刷没了。

自己登录https://beta-pro.crmeb.net/admin 这个后台，看看是不是一号通4万条短信为0了。并且很多158开头的手机号。

账号：admin

密码：crmeb.com

作为懂点网络安全的我老早就反映了这个问题，官方不信。真正攻击你的话4万条短信，只需要5分钟就给你弄光。

现在的问题修复方案：
1.最重要的第一点，增加腾讯滑块验证码（https://cloud.tencent.com/document/product/1110/36841）web端接入，网页和APP都能用。不要自己搞个滑块（官方管理登录的时候有个滑块，结果就是自欺欺人的本地验证。专业的安全别再马虎了）再次强调，一定要有验证码，自己去看看哪个大厂对短信的时候没有验证码的。否则肯定可以破解并且盗刷你的

2.修复单ip限制，官方现在嘴上说短信有限制IP，经过测试是没卵用的。根本不需要挂代理IP就可以了。但是即便你限制IP，只要我有足够的肉鸡再挂上代理IP，依旧可以盗刷。所以一定要有验证码！IP限制理应是一号通提供的，弄不了的话就赶快接入个腾讯验证码，腾讯已经有现成的配置了

3.在请求短信验证码的前端增加动态密钥，请求时每次密钥都是不一样的，密钥需与后端一致才能成功。并对这串逻辑进行混淆加密

注意：经过以上就能把客户端的盗刷问题解决了，但是管理后台也有个手机号登陆，这个也要处理，否则这里也是突破口。

顺带吐槽了，之前还反映了余额充值不支持支付宝的问题（https://q.crmeb.com/thread/11766?postId=127413），官方虽然说纳入规划。但是这些都是最基础的功能，都应该紧急修复的，这些都不完善，还做其他的干嘛？

希望官方引起重视，把这些重要的事情认真对待下，同为程序员知道什么是重点，千万不要当成耳边风。官方也要找个专门代码测试的时候进行安全审查，这只是短信的BUG，其他BUG我也懒得找，买现成软件就是图个方便。要是出来个修改余额的漏洞啥的，倒霉到死。