一般而言我們在網站制作中為了安全起見,都會在網站后臺登陸和網站注冊界面加驗證碼功能,那么我們經常用到的網站驗證碼是不是就是絕對安全的呢,下面小編就分析一下我們經常用到的驗證碼的幾個漏洞。
一般來說,我們會把驗證碼的值用Session存儲起來,通過對比用戶提交的驗證碼和Session中的驗證碼,就可以知道輸入是否正確。由于Session會占用服務器資源,我曾經想過是否可以把驗證碼的值加密后存儲在Cookie中。不過事實證明,這只是異想天開罷了。
假設驗證碼的值是a,通過sha1加密后得到的值為b = sha1(a),并且把b存儲在Cookie中。而用戶提交的驗證碼值為c,通過判斷sha1(c)是否與b相等,可以知道輸入的驗證碼是否正確。然而,Cookie是受客戶端控制的。如果用戶事先通過肉眼看到驗證碼的值是a,又從Cookie中得知此時的加密值為b,那么,他只要在提交前把Cookie的值修改為b,提交的驗證碼值為a,就可以永遠通過驗證。
這種情況可以直接用代碼來說明:
if (Request["captcha"] == Session["captcha"] as string) { // 驗證通過,繼續操作 }
假設用戶繞過了系統提供的表單直接提交數據,此時驗證碼還沒生成,Session["captcha"]為空。用戶不提交驗證碼時,Request["captcha"]也為空。于是,驗證通過了。
要解決這個問題,其實只要加個非空判斷就可以了:
if (!String.IsNullOrEmpty(Request["captcha"]) && Request["captcha"] == Session["captcha"] as string) { // 驗證通過,繼續操作 }
使用驗證碼要遵循一個原則,在一次比對之后,無論用戶輸入正確與否,都要立刻將驗證碼銷毀。
如果不這樣做,就可以出現以下情況:
以上是仟億科技小編總結的關于網站驗證碼幾個常見漏洞的,如果那里有說的不完善的地方可以自己補充。
Copyright@ 2011-2016 版權所有:大連千億科技有限公司 遼ICP備11013762-3號 google網站地圖 百度網站地圖 網站地圖
公司地址:大連市沙河口區中山路692號辰熙星海國際2317 客服電話:0411-39943997 QQ:2088827823 37482752
法律聲明:未經許可,任何模仿本站模板、轉載本站內容等行為者,本站保留追究其法律責任的權利! 隱私權政策聲明