1. 问题说明
检查移动客户端 APP 使用的验证码的安全性是否够强,如图片验证码在客户端验证,或图片验证码可被其他程序识别等,这些都会造成验证码失效。
2. 测试步骤
使用 pytesser 编写脚本尝试进行验证码识别,检查验证码是否可被程序轻易识别,还要检查验证码是否存在其他失效的方式。
下图数据包中验证码就是在客户端验证,可以抓包重放验证码,这样就可以对密码进行爆破从而绕过验证码的限制了。
3. 修复建议
建议验证码在服务端进行验证,并且符合图形验证码安全策略。
若有收获,就点个赞吧
0 人点赞
