验证码未设置为POST一次就失效
测试的时候发现,有些web应用,未设置验证码验证一次就失效,导致攻击者能够通过抓包重放的方式,暴力破解,验证码形态虚设(用户登录失败,放回到登录页面的时候会重新请求一次验证码,只要不重新请求验证码,上一次的验证码就一直有效)。
验证成功一次之后,以后不再验证
有些应用,在验证用户的验证码正确一次之后,就不再验证了,攻击者通过抓包,第一次验证成功之后,下次开始进行暴力破解的时候,数据包中的验证码设置为空就可以了。
测试的时候发现,有些web应用,未设置验证码验证一次就失效,导致攻击者能够通过抓包重放的方式,暴力破解,验证码形态虚设(用户登录失败,放回到登录页面的时候会重新请求一次验证码,只要不重新请求验证码,上一次的验证码就一直有效)。
有些应用,在验证用户的验证码正确一次之后,就不再验证了,攻击者通过抓包,第一次验证成功之后,下次开始进行暴力破解的时候,数据包中的验证码设置为空就可以了。