短信验证码的安全问题

最新推荐文章于 2024-04-26 09:57:35 发布
最新推荐文章于 2024-04-26 09:57:35 发布
阅读量878 收藏 3
点赞数
分类专栏: 日常 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imjavaxb/article/details/120176874
版权

第一:验证码 不能返回
第二:验证码需要传到后台判断(验证码存库)
第三:需要做空指针判断
第四:密码需要加密后再传输

总之,一切敏感性数据尽可能不进行前后端传输,如需进行传输也需进行加密处理

总结:

一、新密码传输,密码加密后传输,在后端获取到后进行解密处理,然后调用加密方法加密后存入数据库;

二、限制当天获取验证码的总次数;

三、后端再次限制两次获取验证码的间隔时间,间隔时间太短不予获取;

四、后端对验证码复杂度二次进行校验;

五、验证码错误次数过多失效,需重新获取;

六、手机号、验证码、密码的非空判断。

My和风大福
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全漏洞——验证码漏洞
A906003660的博客
07-24 2209
网络安全漏洞——验证码漏洞
验证码设计中常见的安全问题
unisms88的博客
06-23 489
验证码 验证码英文缩写为CAPTCHA,即: 完全自动化的公共图灵测试来区分计算机和人类 人机自动识别的图灵测试。 目前,图形验证码已经广泛应用于Web应用程序和客户端软件中。主要用于防止字典攻击(或暴力猜解)、机器注册等。 不幸的是,大多数开发人员都没有注意到这一点,只能应付过去。验证码设计中常见的安全问题有: 验证码有逻辑缺陷,可以被绕过,可以被逆转验证码过于简单,机器无法识别,如下所述。 第一个问题将验证逻辑放在客户端浏览器上 有些系统默认不显示验证码,只有在用户验证错误达到一定次数后才会显示验证码。
验证码常见安全问题与测试方法汇总
明光札记
11-21 758
系统使用验证码主要是意图一般有两个个目的,即辅助身份验证(短信或邮箱验证码)和防止攻击者利用自动化脚本恶意攻击网站(数字,图片,视频,行为式等验证码)。
爬虫的实战应用之短信炸弹playwright现代网页测试工具
最新发布
php全栈程序员,小李子9479。编程培训,提供产品级插件,
04-26 508
如下图,其中有一个id为phone的输入框,还有一个点击发送验证码的按钮id为but_sms.操作流程是,我们在手机号的地方输入手机号,点击获取验证码,即可发送短信。短信炸弹,也就是说持续对一个手机进行发送短信,实现的方式就是,利用某些网站的登录 ,注册的时候,发送短信验证码来实现。初始化一个playwright项目,然后用phpstorm打开,编写代码。谷歌浏览器原版,直接官方下载安装就行了,Edge其实也可以,但好多人用不习惯,在桌面新建一个chrome.bat的文件,用于平时双击打开谷歌浏览器。
为什么接口需要加密传输
Leon_Jinhai_Sun的博客
11-17 1266
单向散列加密 散列是信息的提炼,通常其长度要比信息小得多,且为一个固定长度。加密性强的散列一定是不可逆的,这就意味着通过散列结果,无法推出任何部分的原始信息。任何输入信息的变化,哪怕仅一位,都将导致散列结果的明显变化,这称之为雪崩效应。散列还应该是防冲突的,即找不出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。 单向散列函数一般用于产生消息摘要,密钥加密等,...
常见验证码漏洞总结
kracer的博客
11-29 8549
目录 0X00 介绍 0X01验证码分类 0X02 常见验证码漏洞 0X03修复建议 0X00 介绍 验证码(CAPTCHA)作为人机区分的手段,在计算机安全领域发挥着不可小觑的作用。缺少验证码,攻击者可通过暴力破解的方式非法接管用户账户,或对网站进行任意用户注册等。设置验证码就是为了防止自动化攻击,但是如果没有设计好的话就形同虚设,所以了解验证码的原理及产生漏洞的原因有助于更加全方位的提高网站的安全指数。 验证码的机制原理: Step1:...
项目实践总结 存储短信验证码
aotangai1607的博客
01-27 577
  存储短信验证码有如下几种方式:   1 Cookie   Cookie存在客户端即浏览器,可以被修改。因此,即使加密了,也不可靠。   2 Session   Session存在服务端即服务器,虽然安全并且可以设置失效时间,但是Session会受到客户端即浏览器的影响,因为关闭浏览器后Cookie不可用会使得Session不可用,即使Session未超时。另外,Session...
动态短信验证码安全防护方案
07-12
动态短信验证码安全防护方案201507.pdf 中国移动 目录 1. 概述 ................................................................. 3 2. 适用范围 ...............................................................
apk短信验证码安全测试一.pdf
05-04
接下来的两篇文章,我们主要介绍对app短信验证码安全进行测试。我们将通过burp软件的intruder模块模拟生成4位纯数字短信验证码测试app短信验证码安全性。我们要分析的app发送短信验证码的请求中带有sign签名校验,...
apk短信验证码安全测试二.pdf
05-05
上一篇得到发送验证码请求的sign签名算法后,这篇主要介绍4位纯数字验证码burp插件的编写。介绍验证码插件之前,我们先介绍一下验证码插件会用到的三个burp接口IIntruderPayloadGeneratorFactory、...
24-聊聊短信验证码安全1
08-03
1、手机木马:主要集中在 Android手机利用钓鱼或漏洞方式手机被下载安装APK木 2、蜂窝网络GSM 嗅探:伪基站和 GSM 嗅探,目前3G 的普及问题,当
短信验证码
12-07
短信验证码是一种广泛应用于在线服务中的身份验证机制,它在网络安全领域扮演着至关重要的角色。这种技术结合了手机通信和信息安全,旨在确保用户身份的真实性,防止欺诈行为,保护用户账户的安全。 验证码通常由...
短信验证码安全常见逻辑漏洞
热门推荐
12306小哥
03-07 2万+
短信验证码安全常见逻辑漏洞声明:此文转自http://www.lx598.com/hangyedongtai/978.html (短信验证码安全常见漏洞)       短信验证码常被用于网站用户注册、账户安全登录以及忘记密码、确认下单等应用场景,特别是一些涉及到用户个人敏感行为时候,为了确认操作是用户本人执行的通常会使用短信验证码进行二次认证。      在实际应用中,有很多产品的短信验证码接口存...
短信验证码常见漏洞总结
李秀才的博客
03-04 1万+
使用短信验证码验证身份已经是很普遍的了,注册和忘记密码时最为常见。但是在实际应用中,很多产品的短信验证接口存在诸多漏洞,很多人在开发中也是没有注意到这些问题,因此呢给企业和个人造成不必要的损失。接下来我将常见的漏洞总结如下: 一:短信轰炸漏洞 发送短信接口是最容易被盗刷的接口,不法分子利用接口的漏洞,任意的发送短信,给企业造成直接的经济损失。因此这个要特别注意,主要防御手段有四: (一)同一...
手机验证码常见漏洞总结
10-26 1943
0X00 前言   手机验证码在web应用中得到越来越多的应用,通常在用户登陆,用户注册,密码重置等业务模块用手机验证码进行身份验证。针对手机验证码可能存在问题,收集了一些手机验证码漏洞的案例,这里做一个归纳总结,在测试中,让自己的思路更加明确。常见的手机验证码漏洞如下: 1、无效验证 2、客户端验证绕过 3、短信轰炸 4、验证码爆破 5、验证码与手机号未绑定 0X01...
短信验证码数据的封装加密
weixin_34072458的博客
05-13 828
2019独角兽企业重金招聘Python工程师标准>>> ...
手机验证发送及其验证(基于springboot+redis)保姆级
经验分享
03-21 1788
Java开发中,发送手机验证码时需要考虑以下几个问题
认证短信MD5加密笔记
qq_15740267的博客
09-17 281
1.短信使用三方接口,阿里云-官网 在auth服务上远程调用三方接口即可 1. 验证码的再次校验 将验证码存入redis中,因为它不是一个永久数据 key可以是手机号,加上头 value就是验证码,加上手机号 2. 接口防刷,防止恶意刷验证码 在验证码redis中的value上加上一个系统时间 判断系统时间和你要再次调用接口的时间,相差多少, 如果不满足60s,不能重新发送,需要返回一个异常状态(自定义) 满足程序就往下执行,实现发送验证码功能 3. 注册成功回到登录页面 直接重定向到登录页
java语言写短信验证码登录安全
05-30
Java语言可以通过短信验证码实现登录安全。以下是一个简单的Java实现短信验证码登录的示例代码: ```java import java.util.Random; import java.util.Scanner; public class SMSCode { public static void main(String[] args) { Scanner scanner = new Scanner(System.in); String phoneNumber = scanner.nextLine(); String code = generateCode(); sendSMS(phoneNumber, code); String inputCode = scanner.nextLine(); if (code.equals(inputCode)) { System.out.println("登录成功"); } else { System.out.println("验证码错误"); } } private static String generateCode() { Random random = new Random(); StringBuilder builder = new StringBuilder(); for (int i = 0; i < 6; i++) { builder.append(random.nextInt(10)); } return builder.toString(); } private static void sendSMS(String phoneNumber, String code) { // 发送短信的代码 System.out.println("已向" + phoneNumber + "发送验证码:" + code); } } ``` 这个示例代码中,首先通过Scanner读取用户输入的手机号码,随后生成一个6位的随机数字验证码,并且通过sendSMS函数发送短信验证码到用户的手机上。最后再通过Scanner读取用户输入的验证码,并且将其与之前生成的验证码进行比较,从而实现登录验证。 请注意,这只是一个简单的示例代码,实际的短信验证码登录需要考虑到更多的安全问题。例如,需要对验证码进行有效期限制,避免验证码被恶意利用;同时,需要对发送短信的次数进行限制,避免滥用短信服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值