验证码安全

最新推荐文章于 2023-11-21 08:30:00 发布
最新推荐文章于 2023-11-21 08:30:00 发布
阅读量311 收藏
点赞数 2
分类专栏: 网络安全 文章标签: 安全 web安全 网络安全 网络攻击模型 服务器 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Williamanddog/article/details/128877248
版权

所用环境:Pikachu

1.验证码安全介绍及分类

在安全领域,验证码主要分为两大类:操作验证码和身份验证码。 验证码的主要作用:防止恶意暴力破解、防止恶意注册、刷票、论坛灌水等一切脚本行为。 验证码的分类:手机短信、手机语音、通用文字、加减法、非通用文字、非通用文字加背景随机加拉 伸、无感知、滑动拼图、文字点选、图标点选、推理拼图、短信上行、语序点选、空间推理、语音验证 等等。

2.验证码绕过(on client)

当未输入验证码的时候,提示“请输入验证码”:

当输入错误验证码的时候提示“验证码输入错误”:

当输入正确验证码的时候提示“用户名或者密码不存在”:

我们尝试截取登录处数据包,修改密码并多次重放之后发现该验证码依然有效,说明可能存在验证码可 以重复使用的情况:

于是进行暴力破解,破解出密码为123456:

查看前端代码:

跟进createCode()函数:

发现造成该验证码重复使用的原因是:验证码是在前端利用js语句生成和刷新的,我们通过截取数据包 进行重放绕过了客户端刷新验证码的机制。

3.验证码绕过(on server)

截取登录处的数据包:

输入错误的验证码返回“验证码错误”:

输入正确的验证码返回“用户名或者密码不存在”:

username or password is not exists~

多次更换密码重放之后,服务端仍然返回“用户名或者密码不存在”,证明该验证码依然可以重复使用:

于是仍然可以进行暴力破解,破解出密码为admin/123456:

查看源代码:app/vul/burteforce/bf_server.php

造成该验证码重复使用的原因是:验证码在验证之后没有销毁$_SESSION['vcode'],造成了重复使用。

梓桐sama
关注
专栏目录
安全开发之验证码安全
XZ85201的博客
05-22 1661
验证码:是一种校验区分用户是计算机还是人的公共全自动程序。 作用:防止刷票、论坛灌水、刷页、防止黑客恶意破解密码、盗取用户数据和防止恶意注册登录等等
验证码设计中常见的安全问题
unisms88的博客
06-23 504
验证码 验证码英文缩写为CAPTCHA,即: 完全自动化的公共图灵测试来区分计算机和人类 人机自动识别的图灵测试。 目前,图形验证码已经广泛应用于Web应用程序和客户端软件中。主要用于防止字典攻击(或暴力猜解)、机器注册等。 不幸的是,大多数开发人员都没有注意到这一点,只能应付过去。验证码设计中常见的安全问题有: 验证码有逻辑缺陷,可以被绕过,可以被逆转验证码过于简单,机器无法识别,如下所述。 第一个问题将验证逻辑放在客户端浏览器上 有些系统默认不显示验证码,只有在用户验证错误达到一定次数后才会显示验证码
web验证码安全
weixin_41524915的博客
11-08 1036
  【Web安全】浅谈Web安全验证码  11 months ago  绿盟科技  阅读: 2,445 2018年春运即将拉开帷幕。春运又称“年度全球最大规模的人口流动”,是一部“人民的斗争史”,起初只是与黄牛斗智斗勇,后来为了整治黄牛12306不断升级验证码,于是大家开始了与验证码斗智斗勇。那么这种验证码是否是必须的?且看小编对Web安全验证码的解读。 为防止服务器端的资源被客户...
验证码安全深度剖析
Bul1et的博客
12-12 3826
验证码大家都比较熟悉,一般是为了防止暴力破解和机器的恶意注册,但是你的验证码安全吗? 前端绕过验证码 有些验证码是通过前台校验的,就是前台写一个生成验证码的函数,然后去跟用户输入做比较 就像这种我们来看看他的源码 这个时候我们就发现后台没有去校验用户输入的验证码,我们来绕过它 我们把输入的验证码设置为空,就绕过了验证码的限制了   后端绕过验证码 后端绕过验证码大多原因...
验证码安全问题汇总(实例版)
cfylove的专栏
05-16 469
这是一篇非常好的实战文,用来破解验证码,文里面有很多wooyun中的案例 验证码安全问题汇总转载需要权限,懒得申请,放到这里,自己找着方便。传送门点击上面蓝色链接,网址如下,www.91ri.org/12611.html
apk短信验证码安全测试一.pdf
05-04
接下来的两篇文章,我们主要介绍对app短信验证码安全进行测试。我们将通过burp软件的intruder模块模拟生成4位纯数字短信验证码测试app短信验证码安全性。我们要分析的app发送短信验证码的请求中带有sign签名校验,...
验证码安全系统架构设计.pptx
10-13
验证码安全系统架构设计是网络安全领域中的重要组成部分,其主要目的是防止自动化的机器人、恶意软件和其他非人类用户对网站或应用程序进行滥用。在这个解决方案中,我们将深入探讨验证码技术的原理、类型、实现方式...
浅谈暴力破解及验证码安全
L_lemo004的博客
09-22 3681
文章目录一、暴力破解及验证码安全注意事项二、C/S架构暴力猜解三、B/S架构暴力猜解四、Hydra安装及使用安装参数说明各种用法实例五、防范暴力猜解六、验证码安全工作原理存在的问题图片验证码的生成可能存在如下问题在验证码的程序实现流程方面可能存在如下问题对抗现状验证码未来可能的主要形式操作验证码安全0x01 验证码可重用0x02 验证码可识别0x03 客户端生成/显示/校验0x04 空验证码绕过0x05 验证码数量有限0x06 是否校验可控0x07 超过次数才开启验证码0x08 验证码可预测身份验证码安全0
验证码安全总结.xmind
12-10
验证码安全总结
验证码安全问题汇总
zhangge3663的博客
03-14 1062
0x00 前言 [emailprotected][emailprotected]相应的文章,只是觉得应该有个入门级的“测试用例”。本文不涉及OCR,不涉及暴力四六位纯数字验证码,不涉及没有验证码的情况(神马?没有验证码?没有验证码还讨论什么,要不人家不 care,要不人家已经胸有成竹有更牛逼的方法)。本文可能会与之前的某些文章有重合,可能与drops的“最严肃的安全原创平台”气质不符,请...
验证码常见安全问题与测试方法汇总
最新发布
明光札记
11-21 885
系统使用验证码主要是意图一般有两个个目的,即辅助身份验证(短信或邮箱验证码)和防止攻击者利用自动化脚本恶意攻击网站(数字,图片,视频,行为式等验证码)。
暴力破解及验证码安全
2301_79194110的博客
10-01 3764
hydra -L user.txt -P top100.txt -t 1 -vV -e ns 10.0.0.131 mssql -o 1.txt 通过cat 1.txt查看。由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有比较好的功郊。-C FILE 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数。-p PASS 小写,指定密码破解,少用,一般是采用密码字典。-w TIME 设置最大超时的时间,单位秒,默认是30s。
如何设计相对安全的图形验证码
gao2175的博客
11-05 1956
今天,我将结合自己以往在安全测试方面的一些经验,简单的分享一下图形验证码相关的安全问题,要回答上面这个问题,我们需要先了解一些关于图形验证码的基本知识。 验证码是什么? 验证码(CAPTCHA)即“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写...
【转】细说验证码安全 —— 测试思路大梳理
tpriwwq的专栏
01-27 1828
细说验证码安全 —— 测试思路大梳理 1 前言 在安全领域验证码主要分为两大类操作验证码身份验证码 虽然都是验证码,但是这两者所承担的职责却完全不同。 操作验证码,比如登录验证码主要用来 区分人与机器 ,在某种程度上属于图灵测试 身份验证码主要用来判断账号归属人,解决信任问题,所以更恰当的叫法是 认证码 由于两者的分工和定位不同,所衍生出的安全问题、所关注的安全点也有所不同。 本文将乌云中所有验证码相关案例提炼、分析并汇总,得出一些可重用的方法和经验。 希望本文能给读者带来一些
短信验证码安全常见逻辑漏洞
热门推荐
12306小哥
03-07 2万+
短信验证码安全常见逻辑漏洞声明:此文转自http://www.lx598.com/hangyedongtai/978.html (短信验证码安全常见漏洞)       短信验证码常被用于网站用户注册、账户安全登录以及忘记密码、确认下单等应用场景,特别是一些涉及到用户个人敏感行为时候,为了确认操作是用户本人执行的通常会使用短信验证码进行二次认证。      在实际应用中,有很多产品的短信验证码接口存...
暴力破解与验证码安全之——验证码安全
温柔小薛的博客
04-14 2476
验证码安全 简介 验证码(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是 计算机还是人的公共全自动程序。 可以防止:恶意破解密码、刷票、论坛灌水,有效防止某 个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的...
抵御短信炸弹:动态短信验证码安全策略
"动态短信验证码安全防护方案针对的是网站和APP开发中的一种安全问题,即‘短信炸弹’攻击。这种攻击导致用户频繁收到不明验证码短信,严重影响用户正常使用并引发大量投诉。短信炸弹通过循环利用不同业务的动态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值