感謝某電商平臺(tái)安全工程師feiyu跟我一起討論這個(gè)漏洞的修復(fù)。以往在安全測(cè)試的過(guò)程中后臺(tái)經(jīng)常存在驗(yàn)證碼不失效果造成的撞庫(kù)問(wèn)題,甚至在一些銀行或者電商的登錄與查存頁(yè)面同樣存在這個(gè)問(wèn)題,一旦造成撞庫(kù)無(wú)論對(duì)用戶(hù)賬號(hào)的安全性還是網(wǎng)站的負(fù)載都是巨大的挑戰(zhàn)。其實(shí)造成問(wèn)題的原因并不復(fù)雜,主要是研發(fā)在開(kāi)發(fā)過(guò)程中缺少對(duì)安全的認(rèn)知,造成的疏忽。

今天心血來(lái)潮自己寫(xiě)了個(gè)驗(yàn)證碼來(lái)模擬下出現(xiàn)的問(wèn)題,首先我們從前端頁(yè)面開(kāi)始分析:

1
2
3
4
5

網(wǎng)友評(píng)論

      •