系统登录图片验证码验证流程安全改进

最新推荐文章于 2022-08-13 16:29:55 发布
最新推荐文章于 2022-08-13 16:29:55 发布
阅读量828 收藏
点赞数 1
分类专栏: 设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37372909/article/details/106528083
版权

背景:

安全部门发了一个文档,说我们平台登录的验证码有被暴力破解的风险。立马看看:

漏洞风险等级:低危
涉及页面及url:http://xxxx.com/#/login
涉及参数:--
漏洞描述:登陆界面由于验证码不失效,导致可以暴力破解,但破解得到的账户无法登录。 
修复建议:后台设置验证码使用一次失效

处理:

主要做好2两点:一是登录失败要刷新验证码。二是后端服务在验证后不管成功失败要把登录失败的验证码失效。

我梳理了一下流程,红色为建议改进的步骤。

https://www.processon.com/view/link/5ed7608e0791291d5dbf517f

弗锐土豆
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
图片验证码实现流程
py200206145642的博客
07-08 842
python 简单实现图片验证码的获取和实现图片验证码登录
图片验证码业务流程
mophite的博客
11-23 937
简述图片验证码的加载流程
weixin_42731334的博客
08-12 531
使用图片验证码进行登录验证
jiaomubai的博客
10-27 3292
需求:后端系统登录时使用图片验证码验证登录 效果: 使用 4 位数字加字母组合验证码登录,相关代码为: import cn.hutool.captcha.CaptchaUtil; import cn.hutool.captcha.LineCaptcha; @RequestMapping("/getCode") public ResultVO getCode(HttpServletRequest request, HttpServletResponse response) { Strin
图片验证码和短信验证码 流程
dasfa11的博客
10-08 1138
ASP网上人才招聘系统.doc
05-09
作为一种专业化的业务流程改进工具,有效地解决了人才招聘工作效率和效果改进提升中所面临的问题。本毕业设计,就是为了适应现代求职/招聘方式而做出的一种尝试。本系统采用ASP这种服务器端的开发环境以及Windows XP...
LFMessS 岭峰网行业专用留言系统 v2.20.0.F.zip
07-06
9、改进移动端留言验证码功能,现在移动端发信时也可以使用文字字符验证码。注意:该验证码模式太过于简单,不推荐在internet环境下使用; (重要程度:中) 10、改进移动端留言显示,现在超过2行信息默认折叠,...
EmpireCMS程序源码开源 5.1 GBK
03-19
19、验证码改进,增加图片增加干扰字符。防止机器识别图片字符。 修复: 20、修复批量发送邮件编码问题。 21、修复统计信息标签为只统计审核信息数,并改进算法。 22、修复内容模板不支持调用静态评分标签。 23、...
EmpireCMS 5.1程序源码繁体开源 BIG5
03-19
19、验证码改进,增加图片增加干扰字符。防止机器识别图片字符。 修复: 20、修复批量发送邮件编码问题。 21、修复统计信息标签为只统计审核信息数,并改进算法。 22、修复内容模板不支持调用静态评分标签。 23、...
EmpireCMS 5.1程序源码开源繁体 UTF8
03-19
19、验证码改进,增加图片增加干扰字符。防止机器识别图片字符。 修复: 20、修复批量发送邮件编码问题。 21、修复统计信息标签为只统计审核信息数,并改进算法。 22、修复内容模板不支持调用静态评分标签。 23、...
登入验证安全 上(验证码、忘记密码、客户端验证
m0_61506558的博客
08-13 1100
抓包后输入对的验证码后,反复发送査看回包,可以看到,没有出现验证码错误,出现的是用户名不存在,那么这里还出现一个点,用户名爆破,只要输入账号错误和密码错误回显不一样,就可以算成用户名可爆破漏洞。简单来说,验证信息没有进入服务器,直接在前端进行效验,可以通过查看源代码发现验证码是前端验证码,可以通过直接抓包的方式在 bp 里边爆破,首先在一个网站注册一个用户,然后修改这个用户的密码,通过抓取数据包中的参数判断哪里是校验用户,通过修改关键参数,达到任意修改其他用户密码的目的。.........
Spring Security添加图形验证码
weixin_42254034的博客
11-28 577
Spring Security添加图形验证码 大致思路: 1.根据随机数生成验证码图片 2.将验证码图片显示到登录页面 3.认证流程中加入验证码校验 依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </de
图形验证码操作
weixin_46240162的博客
05-19 1174
图形验证码操作 在很多登录和注册操作中,都是需要加入一层验证操作的,在我的理解中,这样可以防止用户爆破式的登录,和爬取数据等等。 这里我用的是node.js的koa框架,express框架和原生的操作基本一致,因为使用的是trek-captcha模块。 后端 const { token, buffer } = await captcha({ size: 4 });定义了一个字长为四位的图形验证码对象,并在对象中解构出了token(验证码的内容),buffer(图片的buffer对象) 前端处理
WindowsXP 系统登陆原理及其验证机制概述
weixin_30480583的博客
07-22 171
平常我们在使用WindowsXP时,总是要先进行登录。WindowsXP的登录验证机制和原理都要比Windows98严格并复杂得多,不会再出现按“取消”按钮就能进入系统的丑事(可以通过修改注册表来禁止)。理解并掌握WindowsXP的登录验证机制和原理对我们来说很重要,能增强对系统安全的认识,并能够有效预防、解决黑客和病毒的入侵。 一、了解WindowsXP的几种登录类型。 1、交互式登录 ...
图片验证码解决方案
weixin_42825585的博客
05-11 1063
一、使用Tesseract 介绍: OCR,即Optical Character Recognition,光学字符识别,是指通过扫描字符,然后通过其形状将其翻译成电子文本的过程。对于图形验证码来说,它们都是一些不规则的字符,这些字符确实是由字符稍加扭曲变换得到的内容。 安装: tesseract下载地址:https://digi.bib.uni-mannheim.de/tesseract/, 带d...
图片验证码解决方法
qq_24137739的博客
05-27 686
使用PIL标注图片库 # python图片标准库 from PIL import Image import pytesseract # 创建图片对象 image = Image.open("test3.jpg") # 图片转为字符串 s = pytesseract.image_to_string(image) print(s) 解决验证码问题基本思路与方法 # -*- coding...
爬虫-百度安全验证-图片旋转验证-深度学习解决方案
热门推荐
Tang 的博客
03-02 1万+
提出利用深度学习的思路解决在对百度进行关键词爬虫时遇到安全验证的问题,同时可运用于百度其他的验证场景,例如账号登陆等。基于 PyTorch 训练的轻量模型,可实际运用于 python 和 java 开发的生产应用中。
Node图形邮箱手机验证码实现方法总结
Guan'Blog
07-04 813
导语:之前做过一个小项目,其中用到了图形验证码,邮箱和手机号注册登录,这三者基本上是现在网站常用的验证方法,现在就做一个使用操作总结。 目录 准备工作 原理解析 方法总结 在线体验 准备工作 安装依赖包 继续打开上次新建的demo文件夹,下载几个依赖包。 npm install svg-captcha nodemailer tencentcloud-sdk-nodejs --save svg-captcha 可以创建图形验证码 nodemailer 可以发送电子邮件 tencentcloud-s.
PHPCMS V9上传附件图片出现“服务器安全认证错误”解决方法
Pompeii的专栏
01-07 3491
因为网站更换域名了,做了301重定向,在网站后台修改了JS路径,CSS路径  IMG路径, 但是上传附件或图片时就出现了“服务器安全认证错误”, 在后台也没有修改的地方! 因为app_path没有修改,导致app_path的值跟前面几个值不一致。所以上传图片的时候,会提示“服务器安全认证错误”。 解决方法是通过修改“caches/configs/system.php”的ap
asp.net短信登录验证码和图片验证程序源码
最新发布
01-06
ASP.NET短信登录验证码和图片验证程序源码可以使用以下代码实现。 短信验证码部分: ``` using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值