本人微信公众号"aeolian"~

不安全的验证码Insecure CAPTCHA

没啥好讲的,当验证不合格时,通过burp抓包工具修改成符合要求的数据包。修改参数标志位、USER-AGENT之类的参数。

防御

加强验证,Anti-CSRF token机制防御CSRF攻击,利用PDO技术防护sql注入,验证码无法绕过,同时要求用户输入之前的密码,进一步加强了身份认证。

 

点赞

Leave a Reply

Your email address will not be published. Required fields are marked *