验证码未更新引发的用户枚举,这种漏洞比较常见,估计很多网站的图像验证码不一定合规。
《利用漏洞中验证码绕过的小技巧》,中有介绍到有条件不刷新多见于如下情况:
登录失败之后,系统会打开一个新页面或者弹出一个新的警告窗口,提示用户登录失败,点击确定后返回登录界面且验证码刷新。这种情况下,只要我们不关闭新窗口或弹窗,配合使用Burpsuite的intruder模块就可以进行暴力破解了。
上面返回信息的长度不一致,就能导致用户枚举。
修复方式:
1、增加验证码识别难度
3、验证码在一次使用后应该及时失效,不可再次使用。(返回信息后应该自动失效)
5、返回信息应该模糊化,统一化,没有长度的差异,增加枚举的难度。
6、增加防暴力破解机制,锁定来源IP。
7、跟客服打好交道,不要一个电话就把密码交出去。