验证码机制之验证码暴力破解

不念不忘少年蓝@ 2022-11-21 15:15 1069阅读 0赞

验证码暴力破解介绍

通常在网站的用户注册、密码找回等页面会设计有手机或邮箱验证码进行验证。
主要为了贯彻落实上网实名制以及保障用户帐户的安全性。
当这些验证码具有一定的规律性,并且没有做好对应的防护措施时,
会导致攻击者通过穷举或其它方式猜解岀验证码,从而对目标系统造成危害。

危害

恶意注册（任意用户注册、批量注册无用账户等）
重置任意用户密码

漏洞原理

短信验证码，下发流程：
在这里插入图片描述

测试示例

案例

通过暴力破解短信验证码实现重置任意用户密码

测试方法

1、接收验证码,观察验证码是否有规律性(如纯数字或可预测的字母)

2、多次填写验证码提交,观察是否有时效性或失败次数限制

3、通过工具暴力猜解验证码

测试

第一步：在找回密码处，

在这里插入图片描述

第二步：抓取短信验证码的数据包

第三步：设置数据字典，进行暴力破解尝试

第四步查看返回数据包

第五步使用成功的验证码，成功进入下一步

防御方案

1、提高验证码的复杂度(如:设为6位以上数字和字母的组合)

2、限制单位时间内验证码输入错误的次数(如规定10分钟内连续输错5次就锁定10分钟)

3、缩短验证码的时效性(一般短信验证码为5分钟内有效)

摘抄

过去了一个没什么了不起的一天，

又可能迎来没什么特别的一天，但人生值得一活。

满满都是后悔的过去，还有让人不安的未来，

不要因为那些毁了现在，

爱每一个今天吧。耀眼一点，你有资格。

——《耀眼》

发表评论取消回复

表情：

评论列表（有 0 条评论，1069人围观）

还没有评论，来说两句吧...

相关阅读

相关图片验证码防暴力破解_Java

实现一个简单的登录验证码 -------------------- 实现原理 1.后台生成验证码传到页面 2.登录验证输入验证码是否正确实现过程 1

小鱼儿/ 2023年02月09日 13:25/ 0 赞/ 64 阅读

相关验证码机制之验证码重复使用

文章目录介绍漏洞原理测试案例防御方案摘抄介绍

冷不防/ 2022年11月21日 15:19/ 0 赞/ 493 阅读

相关验证码机制之验证码自动识别

介绍当验证码设计不存在逻辑层面的问题时,就要涉及到与验证码机制本身的正面对抗,也就是验证码识别技术这里的验证码主要是指图片验证码。验证码自动识别就是指通过

以你之姓@/ 2022年11月21日 15:17/ 0 赞/ 367 阅读

相关验证码机制之验证码绕过

文章目录验证码绕过测试漏洞原理试示例防御方案摘抄

淡淡的烟草味﹌/ 2022年11月21日 15:17/ 0 赞/ 361 阅读

相关验证码机制之验证码客户端回显测试

文章目录验证码客户端回显漏洞原理测试示例防御方案摘抄

分手后的思念是犯贱/ 2022年11月21日 15:16/ 0 赞/ 247 阅读

相关验证码机制之验证码暴力破解

验证码暴力破解介绍通常在网站的用户注册、密码找回等页面会设计有手机或邮箱验证码进行验证。主要为了贯彻落实上网实名制以及保障用户帐户的安全性。当这些

不念不忘少年蓝@/ 2022年11月21日 15:15/ 0 赞/ 1070 阅读

相关防机器人验证机制之验证码

防机器人验证机制之验证码防止爬虫、刷单、抢票等操作的机制。常见方式 1. 随机文字字母和数字，可加上噪点。 ![在这里插入图片描述][202103

青旅半醒/ 2022年11月05日 00:54/ 0 赞/ 313 阅读

相关 java 验证码之 Jcaptcha；springMVC 验证码

环境：myeclipse 2014 maven版本： 3.3.3 spring MVC版本: 4.1.6 release 整合代码下载地址：[http://down

水深无声/ 2022年08月03日 00:17/ 0 赞/ 319 阅读

相关验证码暴破、撞库

![这里写图片描述][20161024152804132] 解决思路： 1、每次产生的验证码都做及时清除缓存 2、用户密码做MD5处理 3、用户登录次数限制

我会带着你远行/ 2022年07月15日 13:41/ 0 赞/ 287 阅读

相关 tp5 验证码验证验证码刷新

首先使用`Composer`安装`think-captcha`扩展包： composer require topthink/think-captcha 在控制器中使

我会带着你远行/ 2022年02月23日 14:16/ 0 赞/ 433 阅读