1. 问题说明

验证移动客户端使用的验证码的安全性,如果验证码存在问题,则可能造成基于验证码的访问控制失效。

2. 测试步骤

首先查看 APP 存在哪些验证码,如短信验证码、图形验证码等,然后分别对这些验证码的安全进行验证。

举个例子,短信验证码可能存在着爆破,复用,未强校验等问题,而图形验证码可能存在着爆破、复用、被轻易识别等问题。

如果 APP 中的验证码存在相关的安全问题,那么该项就是存在问题的。

3. 修复建议

建议 APP 从服务端处获取图形验证码相关信息,并且图形验证码符合图形验证码安全策略,如增加验证码的位数,复杂度,强校验性等。