Тоже когда-то разрабатывал приложение для дополнительной верификации пользователя через sms.
На один и тот же номер телефона, с одного IP можно «заказать» сколько угодно СМС
не совсем понимаю, как это поможет сделать брутфорс? Обычно в таких приложениях стандартный алгоритм: есть определенный временной интервал между повторными отправками sms; код каждый раз генерируется заново; при проверке, после нескольких неудачных попыток сбрасывается и высылается повторно. Да и обычно временное окно, в течение которого можно провалидировать код после авторизации по логину и паролю тоже сильно ограничено — несколько минут. Еще часто системы рейт-лимитов могут не торчать наружу, система продолжает принимать от вас запросы, но на самом деле уже внесла вас в черный список и просто выдает какой-то стандартный ответ.
перехватить логин/пароль или нужный http заголовок совсем не проблема
— как вы перехватите логин/пароль другого пользователя, траффик же шифруется https?
— как вы перехватите логин/пароль другого пользователя, траффик же шифруется https?