心有多大，舞台就有多大，希望结识做网站测试的朋友们；测试需要横向扩展也需要纵向延伸我相信自己会在测试的道路上走的很远..............................

⊙﹏⊙b汗，我怎么就没想到呢？----验证码漏洞攻击问题

上一篇 / 下一篇 2009-07-06 17:33:51 / 个人分类：web安全测试

刚才开了个小会，部署这周的工作，我的直接领导问开发上周一个模块的开发和测试情况，
领导：1、为防止用户进行多次尝试输入不同的PIN来得到有效的PIN，你进行这方面的安全处理了吗？
   2、当用户输入新的PIN时，下面的验证码随之更新没有？（虽然页面并没有变化）

   对于这两个问题，本来应该由我测试提出的，可是当时我怎么就没想到呢？⊙﹏⊙b汗啊
   当时我测试的时候，只是感觉验证码没随之更新感觉好奇怪，但也没往深里想，现在想来，我还真是晕，不应该啊。。。。。。

   验证码作用：防止有人利用机器人自动批量注册、对特定的注册用户用特定程序暴力破解方式进行不断的登陆、灌水。因为验证码是一个混合了数字或符号的图片，人眼看起来都费劲，机器识别起来就更困难。

      同样对于PIN也是，为防止用户批量尝试来获取到有效的PIN，所以当每次输入新的PIN时，验证码也要随之更新。

     结论：
     1、功能模块涉及到验证码的地方每次输入新的东西或刷新，验证码也一定要随之更新，否则就失去了它存在的意义！切记！！
     2、为防止用户的这种恶意获取，可以采取当用户输入一定次数的错误数据时，阻止其进一步使用的方法来达到安全的目的。

收藏举报

TAG: