| |
|
<![CDATA[<menu id="guoca"></menu>]]>|
|
<![CDATA[<xmp id="guoca">]]>|
|
|
| |
|
|
|
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
|
|
| |
| |
| <![CDATA[<nav id="guoca"><code id="guoca"></code></nav>]]>
滲透測試怎么判斷驗證碼復用
點贊0
收藏0
發現錯別字
舉報
1年前 提問
亚洲 欧美 自拍 唯美 另类
滲透測試判斷驗證碼是否復用常用方法輸入用戶名、密碼、驗證碼后,點擊登錄按鈕,同時用burpsuite攔截數據包,并使用repeater模塊或Intruder模塊進行數據生,重新發送5次觀察頁面變化,檢查代碼輸入錯誤等信息。該登錄功能存在圖形認證代碼時,輸入正確的圖形認證代碼后進行數據再放,發現圖形認證代碼沒有立即失效則說明驗證碼復用。
修復方案:
系統在開發時注意驗證識別后,銷毀session中的驗證代碼。
限制用戶提交的驗證碼不能是空的。
判斷提交的驗證代碼是否與服務器存儲的一致。
禁止將驗證代碼的明確信息發送給客戶。
回答所涉及的環境:聯想天逸510S、Windows 10。