限制尝试次数:在验证过程中限制用户尝试输入验证码的次数和频率,超过一定次数或频率后暂时锁定账户或增加验证步骤,以防止暴力破解攻击。 实施账户锁定机制:当用户连续多次输入错误验证码时,暂时锁定账户一段时间,防止攻击者继续尝试暴力破解。 添加人机验证:在验证码之外添加人机验证机制,如图像识别、滑块验证、短信验证码...
一处它这里的重置密码是分步骤也就是url是这样的 passwd1/2/3 所以我就直接在url处加了3跳到了最后一步,不过因为没有输入验证码,导致验证不完全,最后一处页面发送错误,不过不影响,我尝试一下输入新密码抓包
我们来看下图的页面,这是现在还有少数厂商存在的漏洞,4位验证码,但是一般的有的厂商会有4位验证码但是会做防护,但是下面的这个我今年新挖的就是没有防护,可以被暴力破解,然后成功重置该用户的密码。 然后就成功破解出来了,下面还有一个现在大多数厂商的6位验证码,才是困扰我们的难题,但是6位验证码也是可以破解的。
我们来看下图的页面,这是现在还有少数厂商存在的漏洞,4位验证码,但是一般的有的厂商会有4位验证码但是会做防护,但是下面的这个我今年新挖的就是没有防护,可以被暴力破解,然后成功重置该用户的密码。 然后就成功破解出来了,下面还有一个现在大多数厂商的6位验证码,才是困扰我们的难题,但是6位验证码也是可以破解的。