FreeBuf@登录注册表单渗透( 三 )
Q4 验证码太弱通常出现逻辑错误的验证码 , 同样存在太弱的通病 , 使用开源的tessertact OCR引擎 , 不经任何训练 , 不人工去噪处理 , 能识别互联网上的大部分验证码!
实例演示: 验证码重放攻击
漏洞详情:测试发现 , 在用户登录时 , 验证码不是即时刷新 , 导致攻击者可通过重放验证码进行登录爆破 。
本文插图
【FreeBuf@登录注册表单渗透】
本文插图
抓包发现验证码数据并没有传输到后端校验
漏洞修复:
1.验证码只能用一次 , 用完立即过期!不能再次使用,实现一次一码 。
2.验证码不要太弱 。 使用扭曲、变形、干扰线条、干扰背景色、变换字体等 。
3.大网站最好统一安全验证码 , 各处使用同一个验证码接口 。
*本文原创作者:星空111 , 本文属于FreeBuf原创奖励计划 , 未经许可禁止转载
精彩推荐
本文插图
推荐阅读
![[电池]最伤手机的充电方式,严重影响电池寿命,你中招了吗?](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/upload/2020/1fd9f2cf9a7f4fc1d5113622f942d2f6.jpg)
- 汇桔集团完成增加注册资本金变更手续,注册资本金增加为3.08亿人民币
- 汇桔网:商标注册成功后,企业商标监控有何重要性?
- 雷帝触网@阿里投资的光云科技获科创板注册通过:去年利润降幅超20%
- 「Linux中国」Windows 登录凭据,Zoom 客户端爆出安全漏洞,可向攻击者泄露
- 网上征信查询平台登录,征信查询官网查询系统
- 『车家号』落地于深圳,比亚迪丰田电动车科技有限公司正式注册成立
- [魔法猪装机大师]Windows7系统如何设置开机自动登录
- 「北京日报客户端」近20项智慧化场景已落地,1670家京企注册雄安新区
- 「广州日报」4月起医疗物资没有中国注册不得出口
- #时间财经#薇娅直播4000万卖火箭被秒拍 神秘“土豪”买家现身 公司注册资本13亿