验证码复用的漏洞，怎么解决

Blade 未结

关注

 2  882

一、该问题的重现步骤是什么？

系统登录界面的图像验证码功能未能启到正常的验证校验，导致攻击者可以绕过图像验证码的限制，进行用户口令的暴力破解。

漏洞数据包：

浏览器访问系统，发现登录页面有验证码功能，限制了暴力破解。

删除验证码参数，数据包如上，可绕过前端验证码的限制，实现暴力破解。

漏洞修复建议：优化图像验证码校验功能，避免攻击者绕过该功能进行用户口令暴力猜解。

漏洞复测结论：经复测，该漏洞未修复。

通过提供的漏洞利用数据包，加载字典进行暴力破解，并未提示验证码错误。

二、你期待的结果是什么？实际看到的又是什么？

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

2条回答