感謝某電商平臺安全工程師feiyu跟我一起討論這個漏洞的修復。以往在安全測試的過程中后臺經常存在驗證碼不失效果造成的撞庫問題,甚至在一些銀行或者電商的登錄與查存頁面同樣存在這個問題,一旦造成撞庫無論對用戶賬號的安全性還是網站的負載都是巨大的挑戰(zhàn)。其實造成問題的原因并不復雜,主要是研發(fā)在開發(fā)過程中缺少對安全的認知,造成的疏忽。

今天心血來潮自己寫了個驗證碼來模擬下出現的問題,首先我們從前端頁面開始分析: 

    
				
					
    
						
							
    
								1
							
    
							
    
								2
							
    
							
    
								3
							
    
							
    
								4
							
    
							
    
								5
							
    
							
    
        		
    網友評論
    
     		
				
    
			
			
			
		
		
    
		
    	
    	
        	
        
        
        



    
 
        
           
    
  

  	  
  



 
	
	
	

	
	





   





	


 
	
	
	

	
	


	






	








        <rt id="y5pkg"><small id="y5pkg"><rt id="y5pkg"></rt></small></rt>