@邪恶贝壳
3年前 提问
1个回答
渗透测试怎么判断验证码复用
安全侠
3年前
渗透测试判断验证码是否复用常用方法输入用户名、密码、验证码后,点击登录按钮,同时用burpsuite拦截数据包,并使用repeater模块或Intruder模块进行数据生,重新发送5次观察页面变化,检查代码输入错误等信息。该登录功能存在图形认证代码时,输入正确的图形认证代码后进行数据再放,发现图形认证代码没有立即失效则说明验证码复用。
修复方案:
系统在开发时注意验证识别后,销毁session中的验证代码。
限制用户提交的验证码不能是空的。
判断提交的验证代码是否与服务器存储的一致。
禁止将验证代码的明确信息发送给客户。