0x01:验证码暴力破解测试
验证码机制主要被用于防止暴力破解、防止DDOS攻击、识别用户身份等,常见的验证码主要有图片验证码、邮件验证码、短信验证码、滑动验证码和语音验证码。
以短信验证码为例。短信验证码大部分情况下是由4~6位数字组成,如果没有对验证码的失效时间和尝试失败的次数做限制,攻击者就可以通过尝试这个区间内的所有数字来进行暴力破解攻击。
测试方法:
攻击者填写任意手机号码进行注册,服务器向攻击者填写的手机号码发送短信验证码,攻击者设置验证码范围000000-999999、
00000-99999、0000-9999,对验证码进行暴力破解,通过返回数据包判断是否破解成功,然后通过破解成功的验证码完成注册。
修复建议:
a.设置验证码的失效时间,建议为180秒;
b.限制单位时间内验证码的失败尝试次数,如五分钟内连续失败5次即锁定该账号15分钟。
0x02:验证码重复使用测试
在网站的登录或评论等页面,如果验证码认证成功后没有将session及时清空,将会导致验证码首次认证之后可重复使用。
测试时可以抓取携带验证码的数据包重复提交,查看是否提交成功。
测试方法:
修复建议:
针对验证认证次数问题,建议验证码在一次认证成功后,服务端清空认证成功的session,这样
就可以有效防止验证码一次认证反复使用的问题。
0x03:验证码客户端回显测试
当验证码在客户端生成而非服务器生成时,就会造成此类问题。当客户端需要和服务器进行交互发送验证码时,可借助浏览器的工具查看客户端与服务器进行交互的详细信息。
测试方法:
攻击者进入找回密码页面,输入手机号与证件号,获取验证码,服务器会向手机发送验证码,
通过浏览器工具查看返回包信息,如果返回包中包含验证码,证明存在此类问题。
修复建议:
1、禁止验证码本地客户端生成,应采用服务器验证码生成机制;
2、设置验证码的时效性,如180秒过期;
3、验证码应随机生成,且使用一次即失效。
0x04:验证码绕过测试
通过修改前端提交服务器返回的数据,可以实现绕过验证码,执行我们的请求。
测试方法:攻击者进入注册账户页面,输入任意手机号码,获取验证码,在注册账号页面填写
任意验证码,提交请求并抓包,使用抓包工具查看并修改返回包信息,转发返回数据包,查看是
否注册成功。
修复建议:建议在服务端增加验证码的认证机制,对客户端提交的验证码进行二次校验。
0x05:验证码自动识别测试
出自来自web攻防之业务安全
