@邪恶贝壳
3年前 提问
1个回答

渗透测试怎么判断验证码复用

安全侠
3年前

渗透测试判断验证码是否复用常用方法输入用户名、密码、验证码后,点击登录按钮,同时用burpsuite拦截数据包,并使用repeater模块或Intruder模块进行数据生,重新发送5次观察页面变化,检查代码输入错误等信息。该登录功能存在图形认证代码时,输入正确的图形认证代码后进行数据再放,发现图形认证代码没有立即失效则说明验证码复用。

修复方案:

  • 系统在开发时注意验证识别后,销毁session中的验证代码。

  • 限制用户提交的验证码不能是空的。

  • 判断提交的验证代码是否与服务器存储的一致。

  • 禁止将验证代码的明确信息发送给客户。