在如今的各类系统中,验证码成为了常见的安全验证手段,然而验证码同样存在诸多安全问题,这里把验证码安全分成图形验证码安全、短信验证码安全 短信验证码安全:验证码回显、验证码绕过、短信轰炸、验证码可控(条件有限,这里只做前两种漏洞演示)
在如今的各类系统中,验证码成为了常见的安全验证手段,然而验证码同样存在诸多安全问题,这里把验证码安全分成图形验证码安全、短信验证码安全
短信验证码安全:验证码回显、验证码绕过、短信轰炸、验证码可控(条件有限,这里只做前两种漏洞演示)
获取验证码 Run
验证码回显:由于系统错误配置或开发疏忽,导致短信验证码被直接回显在响应包中
验证码绕过:通过Fuzz请求参数,添加code_verify=true即可绕过登录校验