发表新帖
发表新帖

验证码漏洞怎么修复?

Blade 未结
关注 举报
1 71
hou52127
hou52127 剑圣 2024-12-11 09:30

一、该问题的重现步骤是什么?

1. 

漏洞名称:

暴力破解

漏洞描述:

指攻击者通过遍历或字典的方式,向目标发起大量请求,通过判断返回数据包的特征来找出正确的验证信息,从而绕过验证机制。

风险程度:

中风险

漏洞位置:

https://****/api/blade-auth/oauth/token?tenantId=*****&username=lidongmei&password=e10adc3949ba59abbe56e057f20f883e&grant_type=captcha&scope=all&type=account

漏洞证明:

     234.png                                                                            

修复建议:

修改图片验证码逻辑,在登录时进行验证。

2. 

3.


二、你期待的结果是什么?实际看到的又是什么?


三、你正在使用的是什么产品,什么版本?在什么操作系统上?


blade-Cloud  V2.9.1   


四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
  • admin - BladeX作者
    2024-12-11 10:13

    2.9.1版本,尝试密码5次失败系统就会自动锁定了,无法暴力破解,如果5次内就“破解成功”概率不亚于中1个亿的彩票。

    除此之外你可以再加一个每次验证后就删掉验证码的redis缓存逻辑,这样就是5次验证的时候每次要更新验证码的值。如果这样都能5次内“破解”还归为漏洞,那我们也没辙了,不知道说什么好。


    CleanShot20241211101923@2x.png

    CleanShot20241211101742@2x.png

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
认证失败,失败原因:用户登录失败次数过多 1
token认证成功,但是系统页面登录失败 1
bladex4.3.0,前端运行交互报错 1
切换到prod运行不起来 1
网监反馈安全问题-log user 1
弹窗表单提交后如何重置表单 1
bladex-tool执行出现ojdbc7:jar:12.2.0.1、yasdb-jdbc:jar:21.1.0.4.8错误 1
登陆之后获取菜单接口暂无承载数据 2
物联网升级Cloud后端,物联网设备相关页面报错 1
blade 工作流插件 版本 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号