一般而言我們在網(wǎng)站制作中為了安全起見,都會在網(wǎng)站后臺登陸和網(wǎng)站注冊界面加驗證碼功能���,那么我們經(jīng)常用到的網(wǎng)站驗證碼是不是就是絕對安全的呢�����,下面小編就分析一下我們經(jīng)常用到的驗證碼的幾個漏洞�。
把驗證碼存儲在Cookie中
一般來說����,我們會把驗證碼的值用Session存儲起來,通過對比用戶提交的驗證碼和Session中的驗證碼���,就可以知道輸入是否正確���。由于Session會占用服務(wù)器資源,我曾經(jīng)想過是否可以把驗證碼的值加密后存儲在Cookie中��。不過事實證明�����,這只是異想天開罷了。
假設(shè)驗證碼的值是a���,通過sha1加密后得到的值為b = sha1(a)�����,并且把b存儲在Cookie中����。而用戶提交的驗證碼值為c�����,通過判斷sha1(c)是否與b相等�,可以知道輸入的驗證碼是否正確�。然而,Cookie是受客戶端控制的�����。如果用戶事先通過肉眼看到驗證碼的值是a�����,又從Cookie中得知此時的加密值為b,那么�����,他只要在提交前把Cookie的值修改為b��,提交的驗證碼值為a��,就可以永遠(yuǎn)通過驗證����。
沒有進(jìn)行非空判斷
這種情況可以直接用代碼來說明:
if (Request["captcha"] == Session["captcha"] as string)
{
// 驗證通過,繼續(xù)操作
}
假設(shè)用戶繞過了系統(tǒng)提供的表單直接提交數(shù)據(jù)���,此時驗證碼還沒生成�,Session["captcha"]為空����。用戶不提交驗證碼時,Request["captcha"]也為空�。于是,驗證通過了����。
要解決這個問題���,其實只要加個非空判斷就可以了:
if (!String.IsNullOrEmpty(Request["captcha"]) &&
Request["captcha"] == Session["captcha"] as string)
{
// 驗證通過,繼續(xù)操作
}
沒有及時銷毀驗證碼
使用驗證碼要遵循一個原則���,在一次比對之后�,無論用戶輸入正確與否���,都要立刻將驗證碼銷毀��。
如果不這樣做���,就可以出現(xiàn)以下情況:
-
假設(shè)用戶輸入錯誤����,且驗證碼沒有重新生成,那么他就可以一直嘗試���,直到正確為止�。雖然機(jī)器對圖片的一次性識別率比較低����,但是�,如果同一張圖片你給它無限次機(jī)會的話��,它還是可以識別出來的����。
-
假設(shè)用戶輸入成功,且驗證碼沒有銷毀���,那么在Session過期之前���,他就可以一直用這個驗證碼通過驗證。
以上是仟億科技小編總結(jié)的關(guān)于網(wǎng)站驗證碼幾個常見漏洞的��,如果那里有說的不完善的地方可以自己補(bǔ)充�。
