目录
-
失效的图形验证码
-
手机验证码是否可被爆破
-
手机验证码批量重放(短信炸弹)
-
注册页面批量注册
-
注册页面覆盖注册
-
网站登录页面绕过
-
任意用户密码重置
失效的图形验证码
在很多的注册、登录、密码修改等页面都需要用户输入图形验证码,目的是为了防止恶意攻击者进行爆破攻击。
但是,在很多网站,存在图形验证码功能失效的问题,也就是说当第一次输入正确的图形验证码提交后,我不刷新该页面,之后该验证码还有用。
那么,我们如何判断该页面的图形验证码功能是否失效呢?
我们先输入正确的图形验证码和信息后,点击提交。用burpsuite抓包,查看返回的数据。然后我们重放,查看服务器返回的数据。如果第二次重放,服务器返回的是验证码错误的话,那么说明就不存在绕过图形验证码的可能性了。如果返回的数据和第一次登陆成功时相同的数据,那么该验证码就存在绕过了。
修复措施
服务器后端应该对图形验证码设置仅用一次,无论输入正确还是错误,该验证码都失效并且返回新的图形验证码。
手机验证码是否可被爆破
对于大多数网站的注册、登录页面,修改密码页面,往往会有用手机号验证码登录的情况。这时&#x