跳开验证码进行攻击
来源:互联网 发布:上海的人工智能企业 编辑:程序博客网 时间:2024/06/11 03:41
验证码就是每次访问页面或者进行某项操作时随机生成的图片,内容一般是数字和字母,也有更BT点的中文和问答题,这就需要访问者把图中的数字字母填到表单中提交,这样就有效地防止了暴力破解。验证码也用于防止恶意灌水、广告帖等。
溯雪是早年大名鼎鼎的黑客神器“刀光雪影”之一,其功能就是暴力破解表单,那时很是很流行的。但是后来有了验证码这个东东,几乎把溯雪推向了死路。但是真的完全是死路了吗?本文给你答案。
对于验证码机制,网上的攻击手法都是利用数学方法分析图片,当然我们不能老是跟着别人的思路走噻,那样多没创意。
想想验证码的思路,就是每次登陆的地方访问一个脚本文件,该文件生成含验证码的图片并将值写入到session里,提交的时候验证登陆的脚本就会判断提交的验证码是否与session里的一致。
问题出现了,在登陆密码错误之后,我们不去访问生成验证图片的文件,那么如果session中的验证码没有被清空,此时验证码就是跟上次的一样,辛辛苦苦构建的防暴力破解就形同虚设了。
PowerEasy2005的管理员登陆页面就是个很好的实例,只要我们把首次访问的验证码辨认出来,以该会话cookie值不断提交就可以实现暴力破解了。
类似的情况还有PJBlog2的登陆验证。
利用验证码的漏洞还可以实现DOS(还有刷投票之类的,呵呵),比如这个CSDN博客系统,回复的验证码就存在这个问题,所以你可以抓包不断提交(喂,先说好,不准拿我试验)。
这次动网bbs做得很好,密码错误之后session中的验证码值被置空且每次检查验证码的时候先检查是否为空。所以如果要修复这种漏洞就参考动网的办法吧。
文章摘自:www.zhima365.com
- 跳开验证码进行攻击
- 短信验证码攻击问题
- 安全校验验证码并避免绕开验证码攻击
- Java生成验证码并进行验证
- java生成验证码并进行验证
- java制作验证码并进行验证
- java制作验证码并进行验证
- 生成验证码且进行登录验证
- Java生成验证码并进行验证
- 攻击验证机制
- 怎样进行Xss攻击
- 怎样进行Xss攻击
- 如何防止验证码接口被恶意攻击
- 短信验证码接口被恶意攻击怎么办?
- 防攻击的基本方式-动态验证码
- 如何防止验证码接口被恶意攻击
- 防止恶意攻击短信验证码接口方法
- 使用Python进行无线攻击--Dnspwn攻击
- 文本框输入信息
- Request与Response
- js 弹框刷新父页面 ajax异步登录
- ios开发——新浪微博客户端
- 加锁进行数据库更新
- 跳开验证码进行攻击
- 在android的webview中 javascript与java代码互相调用
- 安全校验验证码并避免绕开验证码攻击
- Android手机安装busybox步骤
- android实时视频传输方案总结
- NSThread和dispatch_async用法和区别
- oracle中访问不同用户中的表时怎么办
- Qt 绘图
- javascript动态增加,删除一行之通用方法 包括下拉菜单的复制