最近网站访问量比较大,于是在项目中引入了交易验证码。本想可以缓解交易压力的,不料依然被暴力破解。苦思二日,终于发现是自己留下了漏洞,不是验证码被识别了,而是存放验证码的session被对方知晓。由于开发方便,像验证码sessionID,用户信息sessionID都分别使用了一个key。故只要有心的用户登录时记下当时的验证码。发起交易时绕 过js验证便很容易绕过验证码。教训啊!知道这个bug所在,立马改动代码,每发起一笔交易更换一次验证码。交易不管成功失败都清空当前session,并重新获取一次验证码存入session。
网站验证码思考
最新推荐文章于 2024-07-12 20:25:52 发布