驗證碼是大家將常用的,用來防刷子的,但現在真是道高一尺,魔高一丈啊。偏偏就有人繞過驗證碼。我們公司的專案的註冊,老是有刷子刷註冊使用者,甚是苦惱。今天和另外乙個同事討論了半天,終於算是把這個漏洞給解決了
下面是分析流程:
首先說下,我們平常的驗證流程。
我們先來分析下,有驗證碼發布的流程
1,顯示表單
2,顯示驗證碼(條用生成驗證碼的程式), 將驗證碼加密後放進 session 或者 cookie
3,使用者提交表單
4,核對驗證碼無誤,資料合法後 寫入資料庫完成
使用者如果再發布一條,正常情況下,會再次訪問表單頁面,驗證碼被動 更新, session 和 cookie 也就跟著變了
但是灌水機操作 不一定非要使用表單頁面,它可以直接 模擬post 向服務端程式 傳送資料;這樣驗證碼程式沒有被呼叫,當然session和cookie儲存的加密驗證碼就是上次的值,也就沒有更新,這樣以後無限次的通過post直接 傳送的資料 ,而不考慮驗證碼,驗證碼形同虛設!
解決方法:
只要在後台驗證過驗證碼以後,把驗證碼的session值給改掉,這樣我們請求後台的時候,每次的驗證碼session都不一樣,就能避免這個漏洞
Pikachu 暴力破解 驗證碼繞過
校驗驗證碼 客戶端將認證資訊和驗證碼一同提交 後台對提交的驗證碼與session中的進行比較 客戶端重新重新整理頁面,再次生成新的驗證碼 驗證碼演算法中一般包含隨機函式,所以每次重新整理都會改變。1.開啟pikachu中的暴力破解 驗證碼繞過 on client 2.驗證是否存在暴力破解的可能。隨便...
12306驗證碼 驗證碼的架構
最近和眾屌絲一樣,在12306上面刷著春節回家的票。與她大戰無數個回合之後,終於搶到了一張回家的高鐵票,不斷感慨最近人品還不錯。當前,在使用12306的過程中,充滿很多的心酸,念叨了鐵道部的親人很多次 罪過 其中最讓人糾結的一項即是 驗證碼。12306採用驗證碼,無疑是一種很不錯的措施,可以在一定程...
防止簡訊驗證碼被刷
1 圖形驗證碼限制 圖形驗證通過後再請求介面 圖形驗證碼限制是最常用的一種方式,使用者輸入圖形驗證碼並通過之後,再請求簡訊介面獲取驗證碼。2 時間限制 60秒後才能再次傳送 這種措施使用得比較普遍,從傳送驗證碼開始,前端 客戶端 會進行乙個60秒的倒數,在這一分鐘之內,使用者是無法提交多次傳送資訊的...