基于服务器端的验证码绕过 原理: 1、代码在设置验证码的时候没有设置过期时长,并且没有设置使用一次就将其销毁,导致可以重复利用。 2、如果session没有被开发者设置,它默认过期的时间是20分钟。 流程: 1、判断验证码是在前端执行还是后端执行 2、判断开发者是否没有销毁session或者可以重复利用验证码漏洞 3、利用暴力破解进行爆破