本文讨论了网站验证码更新机制中存在的漏洞,即在登录失败时验证码不更新的问题。文章提出了解决方案,即在登录验证失败时也应更新验证码,以防止恶意攻击。
貌似现在很多网站的验证码的更新方式是:每刷新一次验证码图片(通常是请求某个链接得到图片)才在Session中更新一次验证码,于是就有了这样的一个问题:当自己输入账号密码失败的时候,验证码并不会更新(除非跳到有验证码的那页重发下验证码的请求),于是就有了一个漏洞,我输入一次验证码,就可以发送无数条请求(注册投票都存在这个问题)。
所以我们要做的是在登录出错的时候也更新验证码。
在此做个标记,以备以后自己的遇到。
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
