您当前的位置: 首页 > 

星球守护者

暂无认证

  • 3浏览

    0关注

    641博文

    0收益

  • 0浏览

    0点赞

    0打赏

    0留言

私信
关注
热门博文

验证码机制之验证码暴力破解

星球守护者 发布时间:2020-11-02 15:48:44 ,浏览量:3

验证码暴力破解介绍
  • 通常在网站的用户注册、密码找回等页面会设计有手机或邮箱验证码进行验证。
  • 主要为了贯彻落实上网实名制以及保障用户帐户的安全性。
  • 当这些验证码具有一定的规律性,并且没有做好对应的防护措施时,
  • 会导致攻击者通过穷举或其它方式猜解岀验证码,从而对目标系统造成危害。

危害

  • 恶意注册(任意用户注册、批量注册无用账户等)
  • 重置任意用户密码
漏洞原理

短信验证码,下发流程: 在这里插入图片描述

测试示例

案例

通过暴力破解短信验证码实现重置任意用户密码

测试方法

1、接收验证码,观察验证码是否有规律性(如纯数字或可预测的字母)

2、多次填写验证码提交,观察是否有时效性或失败次数限制

3、通过工具暴力猜解验证码

测试

第一步: 在找回密码处,

在这里插入图片描述 在这里插入图片描述 第二步:抓取短信验证码的数据包 在这里插入图片描述 第三步:设置数据字典,进行暴力破解尝试 在这里插入图片描述 在这里插入图片描述 第四步 查看返回数据包 在这里插入图片描述 第五步 使用成功的验证码,成功进入下一步 在这里插入图片描述

防御方案

1、提高验证码的复杂度(如:设为6位以上数字和字母的组合)

2、限制单位时间内验证码输入错误的次数(如规定10分钟内连续输错5次就锁定10分钟)

3、缩短验证码的时效性(一般短信验证码为5分钟内有效)

摘抄 过去了一个没什么了不起的一天,

又可能迎来没什么特别的一天,但人生值得一活。

满满都是后悔的过去,还有让人不安的未来,

不要因为那些毁了现在,

爱每一个今天吧。耀眼一点,你有资格。

——《耀眼》

关注
打赏
1662051426
查看更多评论
立即登录/注册

微信扫码登录

0.0372s