目录
一、暴力破解突破验证码
二、时间、次数突破验证码
三、回显突破验证码
四、绕过验证码方法介绍
一、暴力破解突破验证码
方法
有的验证码输入正确一次,在一定时间内不用再输入。
有的验证码输入正确一次,会在你session中设定一个值,告诉服务器你已经通过验证码验证了。
有的验证码因为逻辑问题只是一个摆设,正常的逻辑为先对比验证码是否正确,再检测账号密码是否正确,反过来了
修复建议:
提高验证码的长度、复杂度
可限制错误登录次数、有效时间
案例
中国人寿某省公司逻辑漏洞可导致所有员工姓名、手机等敏感信息
体验盒子 - 不再关注网络安全
说明:通过爆破获取他的姓名信息,输入手机号和验证码以后,点击获取验证码。验证码直接返回了