一:漏洞名称:
验证码功能缺陷、验证码失效
描述:
验证码就是每次访问页面时随机生成的图片,内容一般是数字和字母(复杂点的就是识别图片内容,计算图片中加减乘除的结果等验证码),需要访问者把图中的数字字母填到表单中提交,这样就有效地防止了暴力破解。验证码也用于防止恶意灌水、广告帖等。在登陆的地方访问一个脚本文件,该文件生成含验证码的图片并将值写入到session里,提交的时候验证登陆的脚本就会判断提交的验证码是否与session里的一致。目前常常会出现验证码失效或者被绕过的可能,也成为了当前产生web漏洞的一个问题。
检测条件:
- Web业务运行正常
- 登录页面或者注册,以及其它交互页面,具有验证码功能
检测方法:
- 验证码和用户名、密码是否一次性、同时提交给服务器验证,如果是分开提交、分开验证,则存在漏洞
- 在服务器端,是否只有在验证码检验通过后才进行用户名和密码的检验,如果不是说明存在漏洞。(检测方法:输入错误的用户名或密码、错误的验证码。观察返回信息,是否只提示验证码错误,也就是说当验证码错误时,禁止再判断用户名和密码。)
- 验证码是否为图片形式且在一张图片中,不为图片形式或不在一张图片中,说明存在漏洞,完成检测
- 生成的验证码是否可以通过html源代码查看到,如果可以说明存在漏洞,完成检测
- 生成验证码的模块是否根据提供的参数生成验证码,如果是说明存在漏洞,完成检测
- 请求10次观察验证码是否随机生成,如果存在一定的规律(例如5次后出现同一验证码)说明存在漏洞,完成检测
- 观察验证码图片中背景是否存在无规律的点或线条,如果背景为纯色(例如只有白色)说明存在漏洞,完成检测
- 验证码在认证一次后是否立即失效:
漏洞修复:
修复方式如下:
- 系统在开发时注意验证识别后销毁session中的验证码。
- 限制用户提交的验证码不能为空
- 判断提交的验证码与服务器上存储的是否一致
- 无论是否一致,都将服务器上存储的验证码清空
其他补充说明:
拓展学习:(有具体的案例)
https://www.cnblogs.com/xiaozi/p/7691344.html
https://www.cnblogs.com/ping007/p/10265764.html