WooYun.org

十九楼在注册的时候，可以选择使用手机激活，因此输入手机号，点击获得验证码，就会向输入的手机号发送验证码，这个地方有可能产生重放攻击，试了一下，本身功能有个限制同一个手机号必须间隔60秒，这个不算大的限制。经测试，只要同一个手机号，间隔超过60秒，就还可以发送没有次数限制。两个手机号可以不用间隔60秒，想一下主要原因这个地方用户没有登录，没有session，由于http无连接状态，服务端没有判断多个请求是否来自一个ip（客户端）。
利用这个特性能干啥？（应该把问题夸大吧多骗点rank）其实这个问题并没有特别大的作用，主要是因为发送的内容不可控，只是发送一个验证码，如果厂商也是这么认为就忽略吧，说不上大家利用这个给好友发，还帮十九楼做免费宣传呢，其实我也不知道十九楼，只是在乌云上看到 呵呵，生了大把广告费。 但是物极必反，有好的一面就会有坏的一面。如果有人无聊，间隔60秒对某个手机号重放该数据包，那么就会导致一个手机号收到大量垃圾短信，最终填满收集箱，一看到十九楼，已经不是宣传的作用...不找你算便宜了。
简单看一下，十九楼还有密码找回功能，发现也可以使用手机号找回，一样存在问题。
简单看一下，乌云上提交的这样类型问题，貌似大家都不同重视，因此在赠送一个十九楼xss一枚，危害也不大
http://www.19lou.com/search/thread?keyword=%3C%2Ftitle%3E%3Cscript%3Ealert(1)%3C%2Fscript%3E