在喜悦村闲荡时,无意中发现 axpwx 的一篇文章,因为我曾经遇过,也知道原因,但就是一直不会太注意,为加强警惕,特留此记号:
漏洞原因:验证码生成文件每一次被访问生成一次验证码,这样,在生成了验证码后,不再访问验证码生成的文件(另写一个程序提交,也可以保存为HTML去掉相关代码),因为验证码存在session中,所以就一直保持不变,这样,被绕过就成为可能
解决:每次执行了验证码比较检测后,清空原来的验证码(清空也不太安全,应该重新随机生成一个新的)
阅读(2918) | 评论(1) | 转发(0) |
