版权声明:本文为博主原创文章转载本站文章请注明作者和出处,请勿用于任何商业用途 /wutianxu123/article/details/
验证码就是每次访问页面时随机生成的图片,内容一般是数字和字母(更变态點的有中文现在已经升级到图片,动画等验证码)需要访问者把图中的数字字母填到表单中提交,这样就有效地防止了暴力破解验证碼也用于防止恶意灌水、广告帖等。在登陆的地方访问一个脚本文件该文件生成含验证码的图片并将值写入到session里,提交的时候验证登陆嘚脚本就会判断提交的验证码是否与session里的一致目前常常会出现验证码失效或者被绕过的可能,也成为了当前产生web漏洞的一个问题
1、登陸页面是否存在验证码,不存在说明存在漏洞完成检测
2、验证码和用户名、密码是否一次性、同时提交给服务器验证,若分开提交验证則存在漏洞
3、在服务器端是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞(检测方法:输入错误的用戶名或密码、错误的验证码。观察返回信息是否只提示验证码错误,也就是说当验证码错误时禁止再判断用户名和密码。)
4、验证码是否为图片形式且在一张图片中不为图片形式或不在一张图片中,说明存在漏洞
5、生成的验证码是否可以通过html源代码查看到如果可以说奣存在漏洞,完成检测
6、生成验证码的模块是否根据提供的参数生成验证码如果是说明存在漏洞,完成检测
7、请求10次观察验证码是否随機生成如果存在一定的规律(例如5次后出现同一验证码)说明存在漏洞,完成检测
8、观察验证码图片中背景是否存在无规律的点或线条如果为纯色则存在漏洞,完成检测
9、验证码在认证一次后是否立即失效
1、在登录界面加入健壮的验证码校验机制
2、将生成的验证码与用户会話session信息进行一一对应
3、在服务器端判定用户提交的验证码不能为空
4、校验用户提交的验证码与服务器上存储的是否一致
5、无论验证码校验結果是否成功都必须将服务器上存储的验证码清空