验证码常见安全问题与测试方法汇总

最新推荐文章于 2024-05-18 20:08:31 发布
最新推荐文章于 2024-05-18 20:08:31 发布
阅读量791 收藏 1
点赞数
分类专栏: 渗透测试 安全测试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/corenote/article/details/134433975
版权

系统使用验证码主要是意图一般有两个个目的,即辅助身份验证(短信或邮箱验证码)和防止攻击者利用自动化脚本恶意攻击网站(数字,图片,视频,行为式等验证码)。

验证码的生命周期

验证码的目的为辅助验证和防止脚本攻击,其生成和销毁的时机以及其是否容易被攻击者猜测和破解是其能否达成设计目的的根本
Step 1:后端识别验证码生成时机,并生成验证码,并设置其失效时机,将验证码返回给用户
Step 2:用户使用验证码进行对应验证操作
Step 3:验证完成后(无论对应验证请求是成功还是失败),验证码销毁,再次使用此验证码进行验证时将作为无效验证码处理
Step 4:到达验证码失效时间后,验证码销毁,再次使用此验证码进行验证时将作为无效验证码处理
以下为验证码设计中常见安全缺陷,在没有特殊标识的情况下,“验证码”指所有验证码

常见问题汇总

验证码由前端生成

验证码由客户端生成是指前端的JS生成验证码并在前端验证,或者将前端生成的样子内容发送给后端工段进行验证,这样的方式并不安全,因为前端的安全性无法保证,攻击者可以篡改JS代码或绕过客户端验证,或固定验证码内容来进行验证码的绕过。

严重程度

测试方法

1、观察在获取验证码过程是否给后端发送请求,并由后端返回验证码信息,如没有给后端发送请求则存在安全问题

修复建议

验证码的生成也验证都应在后端进行
出现阶段:Step 1:后端识别验证码生成时机,并生成验证码,并设置其失效时间,将验证码返回给用户

重复的获取短信验证码

在设计短信验证码时没有对短信验证码的请求频次进行限制,导致攻击者可以利用次特性进行短信轰炸,或耗尽服务资源

严重程度

测试方法

短时间内多次重发获取短信验证码请求,观察响应信息以及短信是否被发送多次,如短信发送多次则存在安全问题

修复建议

1、限制单个IP的验证码获取次数。
2、在获取验证码时增加其他类型验证码,提升重复获取成本
出现阶段:Step 1:后端识别验证码生成时机,并生成验证码,并设置其失效时间,将验证码返回给用户

已被识别的验证码

这个属于最简单的验证码,过于简单、清晰、可识别性高,可以编写程序进行识别,导致验证码防御体系失效

严重程度

测试方法

1、观察验证码有无干扰元素,或干扰元素过少,如下;此类已被识别
![[Pasted image 20231031103512.png]]
在这里插入图片描述
在这里插入图片描述

修复建议

1、增加验证码的复杂性:可以增加验证码的图片干扰元素,例如线条、文字、背景等,以增加OCR识别的难度。
2、限制请求频率:可以限制用户请求验证码的频率,例如每分钟只能请求一次验证码,以防止暴力破解。
3、较为重要的系统建议使用交互行验证码
出现阶段:Step 1:后端识别验证码生成时机,并生成验证码,并设置其失效时间,将验证码返回给用户

验证码明文出现在Response中

获取验证码的请求中,验证码信息明文出现在Response中,攻击者可以直接读取Response中的验证码字段进行下一步的攻击。

严重程度

测试方法

查看获取验证码请求的响应信息,如存在明文验证码信息则存在安全问题

修复建议

验证码不可明文出现在Response中
出现阶段:Step 1:后端识别验证码生成时机,并生成验证码,并设置其失效时间,将验证码返回给用户

验证码可以爆破

由于验证码设置比较简单,可能只有数字或字母组成,也可能是其设定范围有限,导致验证码的数量一共就那么几个,内容可以被猜测。此时服务端未对验证时间、次数作出限制,故存在爆破的可能性。

  • 例:对于4位纯数字验证码:从0000~9999的10000种可能用多线程在5分钟内跑完并不是很难。
    如果验证码组成相对复杂,如6位验证码,或字母与数字组合则爆破难度则很高,导致攻击成本也提升很多,例如6位的纯数字验证码的验证时间为4位纯数字验证码的100倍
严重程度

测试方法

多次尝试获取验证码观察验证码组成,如验证码组成相对简单,如4位纯数字验证码则进行爆破操作,观察后端是否有爆破限制

修复建议

1、根据系统重要程度合理设计验证码负责程度
2、对于验证码构成简单,建议设计防爆破机制
出现阶段:Step 2:用户使用验证码进行对应验证操作

验证码绕过

验证码绕过是指对应验证请求中存在某个控制字段,通过控制该字段的值可以控制是否打开验证码验证功能,攻击者控制了该字段也就验证码的绕过。

严重程度

测试方法

1、检查从请求体是否有除必要验证字段外的可疑字段,尝试分析修改可疑字段观察响应结果,如可以通过控制字段绕过验证码的校验即存在安全问题。
2、检查直接删除验证码字段,请求是否可以成功处理
此处较为有效的方式为使用白盒或灰盒方式审计接口的设计中有无验证码控制字段,通过拦截请求一般较为容易遗漏

修复建议

出现阶段:Step 2:用户使用验证码进行对应验证操作

验证码重用

验证码重用是指,验证码在使用后没进行销毁,导致攻击者可以反复利用验证码进行爆破,从而失去了验证码的真正作用,验证码未失效分为两种情况。

  • 对应验证操作成功后,验证码未失效
  • 对应验证操作失败后,验证码未失效
严重程度

测试方法

1、使用正确的用户密码,输入验证码进行验证,拦截请求进行回放,如两次验证请求均成功则说明验证码存在重用问题。
2、使用错误的用户密码,输入验证码进行验证,拦截请求进行回放,如两次验证请求均成功则说明验证码存在重用问题。

修复建议

验证码在使用后必须进行失效处理
出现阶段:Step 3:验证完成后(无论对应验证请求是成功还是失败),验证码销毁,再次使用此验证码进行验证时将作为无效验证码处理

方寸明光
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于Burpsuite的安全测试十二:验证码机制测试
chang_jinling的专栏
06-21 2116
基于Burpsuite的安全测试十二:验证码机制测试 常见验证码有图形验证码、短信验证码、邮箱验证码、滑动验证码、语音验证码 情景1:验证码暴力破解测试 短信验证码一般为4-6位数字组成,如果没有失效时间和尝试失败次数的限制,就可以在这个区间尝试暴力破解。 注册的时候,输入手机号点击获取验证码此时用Brup Suite抓取数据包,点击注册后通过抓取的包中对验证码参数进行暴力破解,破解范围...
业务逻辑攻防-验证码安全篇&接口滥用&识别插件&复用绕过&宏命令填入&滑块类
siu~
01-13 625
知识点: 1、验证码简单机制-验证码过于简单可爆破 2、验证码重复使用-验证码验证机制可绕过 3、验证码智能识别-验证码图形被可识别 4、验证码接口调用-验证码触发接口可枚举
自动化测试中6种常见验证码的处理方式
最新发布
2301_77645573的博客
05-18 702
二值化处理就是二值化图像时,将大于某个临界灰度值的像素灰度设置为灰度的极大值,把小于这个值的像素灰度设为灰度的极小值,取值范围一般为0-1;从自动化的本质上来讲,主要是提升测试效率等,但是为了去研究验证码以及提升验证码的识别效率,是需要投入比较大的时间的;UI自动化测试时,需要对验证码进行识别处理,有很多方式,每种方式都有自己的特点,以下是一些常用处理方法,仅供参考。如果验证码是彩色的背景,其实就是把每个像素放在五维空间,即X、Y、R、G、B;但是建议在测试环境使用,生产环境禁用,因为存在安全问题
网站安全验证码安全检测与漏洞修复
网站安全专家
05-05 765
在对网站安全进行整体的安全检测的时候,用户登陆以及用户留言,评论,设置支付密,以及一些网站功能方面都会用到图片验证码,针对于验证码我们SINE安全对其进行了详细的网站安全检测,以及图片验证码安全防护方面,都会详细的跟大家讲解一下。验证码分很多种,图片形式的验证码是目前网站用的最多的,还有一些短信的验证码,手机语言验证码,答题验证码,都是属于网站所用到的验证码,今天主要跟大家讲解的就是图片验证码。...
【逻辑漏洞】验证码功能缺陷
多喝i热水的博客
07-27 733
1.介绍 验证码就是每次访问页面时随机生成的图片,内容一般是数字和字母(更BT点的有中文,现在已经升级到图片,动画等验证码),需要访问者把图中的数字字母填到表单中提交,这样就有效地防止了暴力破解。验证码也用于防止恶意灌水、广告帖等。 在登陆的地方访问一个脚本文件,该文件生成含验证码的图片并将值写入到session里, 提交的时候验证登陆的脚本就会判断提交的验证码是否与session里的一致。 目前常常会出现验证码失效或者被绕过的可能,也成为了当前产生web漏洞的一个问题。2.测试方法 (1)登陆页面是
验证码漏洞汇总(一)
weixin_45095113的博客
11-11 2315
验证码漏洞
验证码漏洞整理
weixin_45106410的博客
11-30 1012
2.1 漏洞的形成 目前大多数的验证码漏洞形成总结起来两点,验证码生成机制或验证机制存在缺陷引发的问题。 2.2 通用设计缺陷 2.2.1 验证码无效 有验证码模块,但验证模块与业务功能没有关联性,此为无效验证,无论输入什么都判断验证码正确,形同虚设。这种情况非常少,一般在新上线的系统中或者一些小站点比较常见。 2.2.2 验证码由客户端生成、验证 验证码由客户端js生成并且仅仅在客户端用js验证,通过抓包看是否有验...
手机APP入门—常见功能点测试汇总.docx
06-10
手机APP入门—常见功能点测试汇总 在测试手机APP时,我们需要关注很多常见的功能点,以确保APP的稳定性和可靠性。以下是常见的功能点测试汇总: 一、安装和卸载测试 * 安装测试:检查APP是否可以正常安装,包括...
网银漏洞修复汇总
07-12
为了防止图形验证码漏洞,我们可以使用复杂的验证码生成算法和验证码过期机制等方法来确保用户的安全。 2.2 手机验证码 手机验证码是一种常见验证码,恶意攻击者可以通过盗取手机验证码来控制用户的账户。为了...
基于多任务学习模型用于验证码的分类预测功能实现
03-18
验证码识别是信息安全领域的一个常见问题,它用于验证用户是否为人类,防止自动化程序(如机器人)的滥用。在这个项目中,我们关注的是如何利用多任务学习模型来解决验证码的分类预测问题。多任务学习是一种机器学习...
【Python实战应用案例代】-模拟登录方法汇总.zip
01-18
这个名为"【Python实战应用案例代】-模拟登录方法汇总.zip"的压缩包文件,很可能是包含了一系列关于如何使用Python进行模拟登录的实例代。下面将详细介绍这些实践案例可能涵盖的知识点,并探讨相关技术。 首先...
Loadrunner使用问题汇总
01-19
在使用 LoadRunner 进行测试时,可能会遇到各种问题,以下是一些常见问题及其解决方法: 1. 无法监控 Windows 服务器资源: 当在 LoadRunner 控制台尝试添加对 Windows 服务器的监控时,如果失败,可能是由于以下...
常见验证码漏洞总结
kracer的博客
11-29 8608
目录 0X00 介绍 0X01验证码分类 0X02 常见验证码漏洞 0X03修复建议 0X00 介绍 验证码(CAPTCHA)作为人机区分的手段,在计算机安全领域发挥着不可小觑的作用。缺少验证码,攻击者可通过暴力破解的方式非法接管用户账户,或对网站进行任意用户注册等。设置验证码就是为了防止自动化攻击,但是如果没有设计好的话就形同虚设,所以了解验证码的原理及产生漏洞的原因有助于更加全方位的提高网站的安全指数。 验证码机制原理: Step1:...
csdn发博文验证码缺陷
mvc360的专栏
08-04 1102
csdn验证码的优点: 一,几乎没有浪费人脑人力,却要花去机器人很多cpu csdn发博文验证码却有很大缺陷: 一,验证码的内容是简单的数字,也就是说穷举近的 二,中间的减去,加上,乘以这种特征明显图像完全可以通过简单的特征函数识别,而一,二,三,这种数字就更好根据特征识别了, 三,欢迎大家破解他的验证码来爆吧啊!
某产品短信验证码缺陷的查找及利用
Ronnie的专栏
03-09 499
近期在对某手机app作安全测试,很好奇我每次如果不保存密,登录它都要验证短信,这跟微信的那种验证完全不一样啊,直觉告诉我这里面有问题,随即开始分析。 找到com/xxx/mobile/xxxx/ui/view/CheckedMsgActivity.java对应的smail代: method publiconKeyDown(ILandroid/view/KeyEvent;)Z  
逻辑漏洞之手机验证码设计缺陷
weixin_30564901的博客
08-15 256
思路:在找回密处存在设计缺陷,一般短信验证码为四位,无尝试次数限制,可爆破。 利用burpsuite遍历0000~9999之间的验证码数字,查看返回包及字节长度,绕过短信验证。 以下为某云的漏洞利用列子 转载于:https://www.cnblogs.com/junsec/p/11357049.html...
登录界面、短信验证的测试点
m0_62382927的博客
11-26 3988
文章目录登录界面测试验证码的作用短信验证测试 登录界面测试 1.输入空的账户,输入密,是否可以登录 2.输入正确的账号,密为空,不能登录 3.账户和密输入都为空,不能登录 4.输入不存在的手机号/输入没有注册过的手机号,不能登录 5.已经注销的手机号是否可以 6.手机号正确,密错误的情况 7.限制密输入次数,防止暴力破解 8.输入非法的手机号,不能登录 9.账号和密都正确,可以登录成功 10.密可不可以复制,要做加密处理 11.登录按钮正常 验证码的作用 验证码是为了增加安全性,防止机器破解
【网站优化】Wordpress 后台登录 设置验证码 防止恶意爆破
Keylion ,Your Hero
08-18 2141
此方法转载于 七墨博客, 仅供学习交流。 1.核心代 //后台登陆数学验证码 function myplugin_add_login_fields() { //获取两个随机数, 范围0~100,可以自行更改为更大或更小数字 $num1=rand(0,100); $num2=rand(0,100); //最终网页中的具体内容 echo "&...
"Web安全测试中常见逻辑漏洞及预防方法解析
因此,漏洞盒子安全研究团队今天与大家分享了在Web安全测试中逻辑漏洞的挖掘经验。 首先,一个常见的逻辑漏洞是订单金额的任意修改。许多中小型的购物网站存在这个漏洞,可以通过抓取数据包或者直接修改前端代,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方寸明光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值