验证码大家都比较熟悉,一般是为了防止暴力破解和机器的恶意注册,但是你的验证码安全吗?
前端绕过验证码
有些验证码是通过前台校验的,就是前台写一个生成验证码的函数,然后去跟用户输入做比较
就像这种我们来看看他的源码
这个时候我们就发现后台没有去校验用户输入的验证码,我们来绕过它
我们把输入的验证码设置为空,就绕过了验证码的限制了
后端绕过验证码
后端绕过验证码大多原因是因为生成的验证码是通过后台校验的,但是这个验证码可以复用,我们就可以通过这个来绕过
我们通过重放攻击发现,不管我们变化用户名密码,这个验证码都可以重复使用
这时就可以暴力破解了........
验证码相对安全的设置