App生产环境中登录页面缺失验证码的后果

已于 2022-02-14 23:15:50 修改
阅读量2.9k 收藏
点赞数 1
文章标签: web安全 安全 服务器
于 2022-02-14 14:24:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65787443/article/details/122923320
版权

1.背景描述:某个登录页面,通过账户和密码进行登录,但是没有验证码。正常情况下用户输入账户和密码进行登录,偶尔可能输入错一两次,这都没事,最终都能正常登录。

2.问题出现:突然有一天登录接口被某个ip不停地请求,分析后可以确定非人为。每次请求由于没有验证码都会去数据库通过账户比较密码,对方可以从中获取你们注册用户账户的一些信息,总之后果也蛮严重的。

3.解决措施:有人会说把这个ip禁了吧,ok,当然可以,你把这个ip禁了,对方可以更换ip继续请求,没事我们还有招,自己写个shell脚本分析一下,自动禁异常ip。对于中小型公司来说能够自己做到这个地步应该算不错了吧。然而问题的本质是密码登录页面缺失验证码,如果你加上一个验证码,验证码是后端随机自动生成的,对方通过脚本请求,登录后台接口可以比较验证码是否正确,验证码如果不正确可以直接返回错误信息,多次请求错误后可以采用一些拉黑或者禁用ip等方式处理,隐患也就不存在了。

4.提问:哈哈哈哈哈,你觉得这样的公司怎么样呢?

小点点小创意
关注
登陆缺少验证码
战神/calmness的博客
05-09 363
登录缺少验证码 http://study.ncepu.edu.cn/en/student/login/do_login 正确情况下:第一次抓捕包正确请求下 第二次抓捕包修改验证码响应值 第三次修改验证码查看返回值的情况,返回包未做任何验证的内容去检验验证码是否有效; 错误用户名,正确密码的情况下使用正确的验证码检测 {"state":0,"info":"Mailbox or password error.","data":{"field":"em...
[Asp.Net]无刷新验证码
德仔
07-25 1891
VerifyCode.aspx: using System; using System.Data; using System.Configuration; using System.Collections; using System.Web; using System.Web.Security; using System.Web.UI; using System.Web.UI.We
计算机考试界面没有验证码,win10系统下网页验证码显示不了的两种解决方法
weixin_39889214的博客
07-26 2816
用户在登陆一些网站时,偶尔会碰到需要输入验证码的情况,通常只要输入完成后就可以继续浏览网页。不过,最近使用 win10系统 的用户反馈,在打开网页登陆界面输入账号密码之后,发现无法显示验证码,导致无法登陆,该怎么办呢?该问题是浏览器内部出错所引起的,大家可以参考下面方法来解决!解决方法一:使用360安全卫士,打开后点击【电脑清理】;2、勾选全部选项,点击【一件扫描】;3、扫描完成后点击立即清理,清...
我是如何完成一个基础登陆页面账号密码验证机制的
weixin_44500533的博客
10-28 1566
原理: 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面 5、每次调后端接口,都要在请求头加...
常见验证码漏洞总结
kracer的博客
11-29 8973
目录 0X00 介绍 0X01验证码分类 0X02 常见验证码漏洞 0X03修复建议 0X00 介绍 验证码(CAPTCHA)作为人机区分的手段,在计算机安全领域发挥着不可小觑的作用。缺少验证码,攻击者可通过暴力破解的方式非法接管用户账户,或对网站进行任意用户注册等。设置验证码就是为了防止自动化攻击,但是如果没有设计好的话就形同虚设,所以了解验证码的原理及产生漏洞的原因有助于更加全方位的提高网站的安全指数。 验证码的机制原理: Step1:...
Java滑动验证_自动滑块验证登录QQ-java实现
weixin_33199315的博客
02-22 1688
之前,我用php配合java写了一个qq群签到的脚本。需要手动更新cookie,很烦。最近学习刷题过程,碰到了很多事情,很烦。就准备写几天代码,把之前的脚本,完整的只用java来实现,顺便平复一下最近烦躁的情绪。登录QQ之后,能干的事情很多。这里只讲述如何自动登录,至于自动登录之后干啥,根据自己需求自由发挥。授人以鱼不如授人以渔,我把思路分享出来。一、登录下载selenium相应的jar包。加载...
App的埋点测试
m0_57290404的博客
02-11 1万+
App的埋点测试一、概念二、测试流程三、测试技巧四、测试方法 前言: 最近针对新开发的一款app进行了埋点测试。在这个过程想总结自己对于埋点测试的学习与理解。 正文: 一、概念 埋点测试只是数据采集的一种术语,而数据采集是提供给运营工作人员去了解手机app对于某些模块、场景的用户使用情况,进行的一个触发埋点,将埋点采集到的数据到的数据进行上报的过程。采集数据只是起点,将数据进行分析、整理、汇总以及报表展示,最终得出用户对app普遍对使用行为,从而实现app面向用户的改良才是目的,为了产品更好符合用户需求体
selenium之如何加载用户配置,跳过登录验证(攻克大众难点)
LYX_WIN
08-26 2576
一、利用ChromeOptions() 加载用户配置 1、在谷歌浏览器输入chrome://version,查看安装目录及缓存目录,这个是windows上的配置 在执行代码之前,关闭已打开的谷歌浏览器,防止chromedriver挂起: from selenium import webdriver import time import os option_b = webdriver.ChromeOptions() # 加载用户配置 绕过登录 option_b.add_argument(f"--
使用Python实现B站自动答题
最新发布
吴秋霖的博客
08-19 1221
使用Python写了一个自动答题机器人!基于接口协议实现且包含点选验证码识别
iOS - App 上架审核被原因拒总结
rstbfveradsvc
09-08 490
1、未遵守苹果 iOS APP 数据储存指导方针 如果你的 App 有离线数据下载功能,尤其需要关注这一点。因为离线数据一般占用存储空间比较大,可以被重新下载和重建,但是用户往往希望系统存储空间紧时也依然能够妥妥的存在着,不会被 iOS 系统自动清理掉。所以不能放在 /Library/Caches 目录下(该目录在系统空间紧张时可能会被 iOS 系统清除)。 那就只能放在主目录 /Do...
验证码机制
ZHY_8643的博客
06-15 890
验证码是从后端生成的,随机生成的:【后端永远都认为前端有可能造假】 1,后端调用相关的绘图第三方类库,或者是系统核心绘图类库进行蹄片的绘制 2、绘制的那些随机的数字,字母,都是后端预先定义好的 3、绘制的图片的URL地址,通过网络反送给客户端,然后,客户端可以使用img标签,去引用这个 验证码的地址 4、后端在绘制完毕验证码之后,随机选择生成的字母,不能丢弃,是需要保存到Session 5、当客户端输入验证码完毕后,会提交表单,后端服务器会拿到,客户端提交过来的验证码,与服务器端的Session验证码
【JMeter03】登录接口解决方案
Lowetu的博客
08-30 2609
登录接口,需要填写验证码。虽然是传统的图片型密码,可以尝试使用OCR方法识别,但对于接口测试(包括之后的UI测试)而言并不需要在验证码上大费周章,尤其是使用测试工具的接口测试。常规理,在测试环境使用固定的验证码就可以,当然,这也意味着在生产环境需要着重查看这个验证码,确保其没有在生产环境使用。......
渗透安全测试常见漏洞分类
weixin_44945788的博客
04-01 597
LocalStorage 存储凭据。Web Service 接口泄露。XML外部实体注入(XXE)Tomcat默认管理后台暴露。HTTP头部SQL注入漏洞。SourceMap文件泄露。启用了不安全的HTTP方法。SSRF服务器端请求伪造。HTTP头跨站脚本攻击。存在测试文件或样例文件。cookie存放密码。Git 源码信息泄露。SVN 源码信息泄露。banner信息泄露。CSRF跨站请求伪造。失效的验证码验证机制。
vue学习之登录验证码丢失问题
dayuyewo的博客
03-22 810
验证码丢失 前端在校验登录验证码的时候,会出现一个问题.验证码输入的是正确的, 但是通过后端校验返回的状态码为错误的.在后端配置了跨域之后,依然会出现这样的问题 我们需要查看一下 , 浏览器对于cookie的设置情况 新版本的谷歌浏览器需要勾选这几个选项 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200322152230767.png...
记一次阿里云生产环境发布,验证码乱码的问题排查
皓晨的架构笔记
09-16 780
前言 因近期多次发现生产环境短信服务多次被恶意攻击,为防止此事件再次发生,故进行本次验证码升级,降低被自动识别的成功率 问题场景 本次采用文算数验证码,在本地开发环境和测试环境验证码都显示正常(测试环境也是阿里云服务器),当部署到生产环境后,进行更新内容验证时,发现验证码乱码。 问题排查(一) 查看线上服务器环境是否和本地一致,经过检查,都一致,排除环境不一致所导致的 问...
登录界面验证码显示不出来及解决
热门推荐
haoluojie的博客
08-30 3万+
查找原因: 1)刚开始以为是tomcat出现问题,重启192.168.1.201:8088的tomcat服务后,显示还是不正常,更换浏览器访问也不正常,怀疑是验证码相关的代码出现了问题。 2)开启192.168.1.201:8055服务(相同项目,之前访问正常,没改动过代码,只是应用服务器weblogic),打开页面,也是同样的问题,排除代码方面问题 3)怀疑内存是否够用,查看内存使用情况
ThinkPHP 关闭 APP_DEBUGE ,验证码报错
weixin_42277397的博客
02-19 495
打开Common\Conf\config.php 'URL_CASE_INSENSITIVE' => false,   // 默认false 表示URL区分大小写 true则表示不区分大小写  修改为false,并删除 data/runtime/Common~runtime.php 这个文件,重新刷新即可...
iOS App环境分离:多Target实现开发与生产环境切换
"本文主要探讨了iOS应用如何实现多服务器环境的分离,包括开发环境、测试环境、预发布环境和生产环境。通过使用不同的Target,每个Target可以配置不同的源代码和资源文件,以适应不同的环境需求。" 在iOS应用开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值