当前位置: 主页 > 头号 > 详情
被登录-ajax登录被暴力破解验证码也失效

  2022-03-12 15:01:08

一、问题描述

系统登录被暴力破解,验证码也失效

二、原因分析

在正式登录前,有个ajax操作先单独交易验证码是否有效,校验通过后没有立刻清理这个验证码,而是继续在正式登录时继续使用,这样验证码可以被破解工具通过报文绕过去了,被绕过去的原因是验证码是对当前用户的session是一直有效的,网上一般都是在讲解如何使用验证码,但使用后如何处理没有说明。

三、解决方案

1.正确的用法是应该访问一次后立刻失效,后者登录后立刻失效,可以避免这个问题

2.记录5次登录失败后10分钟不再进行用户和密码的校验

相关资讯
最新推荐

(c)2008-2015 宇宙网 All Rights Reserved

豫ICP备18040239号-11 联系邮箱:69 77 22 9 @qq.com