关于验证码的不安全问题
时间:2006-12-29 来源:一地风飞
在喜悦村闲荡时,无意中发现 axpwx 的一篇文章,因为我曾经遇过,也知道原因,但就是一直不会太注意,为加强警惕,特留此记号:
http://www.phpx.com/happy/viewthread.php?tid=129456&pid=879715&page=1&extra=page%3D1#pid879715
漏洞原因:验证码生成文件每一次被访问生成一次验证码,这样,在生成了验证码后,不再访问验证码生成的文件(另写一个程序提交,也可以保存为HTML去掉相关代码),因为验证码存在session中,所以就一直保持不变,这样,被绕过就成为可能
解决:每次执行了验证码比较检测后,清空原来的验证码(清空也不太安全,应该重新随机生成一个新的)
http://www.phpx.com/happy/viewthread.php?tid=129456&pid=879715&page=1&extra=page%3D1#pid879715
漏洞原因:验证码生成文件每一次被访问生成一次验证码,这样,在生成了验证码后,不再访问验证码生成的文件(另写一个程序提交,也可以保存为HTML去掉相关代码),因为验证码存在session中,所以就一直保持不变,这样,被绕过就成为可能
解决:每次执行了验证码比较检测后,清空原来的验证码(清空也不太安全,应该重新随机生成一个新的)
相关阅读 更多 +
