本文探讨了一种常见但容易忽视的情况——验证码在特定条件下完全失效的问题。通过分析图片验证码的实现方式,指出了其中存在的逻辑漏洞,并提出了改进措施。
今日解析某需要验证码登录的网站时才发觉原来有的时候我们真的是愚蠢的无以复加。
我们以为自己很聪明,其实,我们一直都在犯错,而且是可怜的自以为是的错误.
为了防止用户的恶意登陆系统和防止机器人的使用,我们一般使用了“图片验证码技术”
但是,有的时候我们的图片验证真的愚蠢的无以复加。
举例来说,我们平常的思路是:
- 创建image.aspx文件,生成4位随机数字,把4为数字存在Session中;
- 登录的时候验证客户端提交过来的验证码是否同session中的是否匹配;
用浏览器访问时,似乎没有什么错误。从思路上也好像确实没有什么错误。
但是如果登陆的时候我们这个images.aspx压根都没有被访问到呢。那么那个Session就为NULL或者"";
如果服务器验证的时候的条件是这样的话:if(Session==request["xxxx']) then true
那么就意味着我们的图片验证码一点都没有生效。
因此,验证码不能在image.aspx中生成;如果要在那里生成的话,就必须检测客户端提交过来的验证码不能为null和"".
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
