基本介绍
图片验证码作为一种安全防护策略对攻击者的暴力破解等攻击进行防御处理,但是部分图片验证码并未在后端进行校验或者允许多次复用导致用户可以通过图片验证码的设计缺陷来对系统用户进行枚举或者暴力破解处理
绕过案例
填写账号和验证码找回后,使用burpsuite抓包,将验证码项内容去掉后可绕过验证码认证,同时可配合进行账号密码字典来进行的暴力破解
复用案例
在用户注册时图片验证码具备"一次验证可多次使用"的特性,攻击者可以通过burpsuite释放掉图片验证码校验数据包,之后利用用户注册数据包来枚举系统用户账户或批量注册大量的垃圾账号
修复建议
1、图片验证码服务器端强制校验
2、图片验证码一次一用,用户用完验证后立即失效,禁止多次复用