验证码机制之验证码暴力破解
Posted 星球守护者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了验证码机制之验证码暴力破解相关的知识,希望对你有一定的参考价值。
验证码暴力破解介绍
- 通常在网站的用户注册、密码找回等页面会设计有手机或邮箱验证码进行验证。
- 主要为了贯彻落实上网实名制以及保障用户帐户的安全性。
- 当这些验证码具有一定的规律性,并且没有做好对应的防护措施时,
- 会导致攻击者通过穷举或其它方式猜解岀验证码,从而对目标系统造成危害。
危害
- 恶意注册(任意用户注册、批量注册无用账户等)
- 重置任意用户密码
漏洞原理
短信验证码,下发流程:
测试示例
案例
通过暴力破解短信验证码实现重置任意用户密码
测试方法
1、接收验证码,观察验证码是否有规律性(如纯数字或可预测的字母)
2、多次填写验证码提交,观察是否有时效性或失败次数限制
3、通过工具暴力猜解验证码
测试
第一步: 在找回密码处,
第二步:抓取短信验证码的数据包
第三步:设置数据字典,进行暴力破解尝试
第四步 查看返回数据包
第五步 使用成功的验证码,成功进入下一步
防御方案
1、提高验证码的复杂度(如:设为6位以上数字和字母的组合)
2、限制单位时间内验证码输入错误的次数(如规定10分钟内连续输错5次就锁定10分钟)
3、缩短验证码的时效性(一般短信验证码为5分钟内有效)
摘抄
过去了一个没什么了不起的一天,
又可能迎来没什么特别的一天,但人生值得一活。
满满都是后悔的过去,还有让人不安的未来,
不要因为那些毁了现在,
爱每一个今天吧。耀眼一点,你有资格。
——《耀眼》
以上是关于验证码机制之验证码暴力破解的主要内容,如果未能解决你的问题,请参考以下文章