欧美成人精品手机在线观看_69视频国产_动漫精品第一页_日韩中文字幕网 - 日本欧美一区二区

LOGO OA教程 ERP教程 模切知識交流 PMS教程 CRM教程 開發文檔 其他文檔  
 
網站管理員

驗證碼是怎樣被繞過的!

admin
2010年7月29日 0:10 本文熱度 5236
最近好多朋友遭遇驗證碼被繞過灌水的事情,他們給了我代碼,一看果不其然!
我們先來分析下,有驗證碼發布的流程
1,顯示表單
2,顯示驗證碼(條用生成驗證碼的程序), 將驗證碼加密后放進 session 或者 cookie
3,用戶提交表單
4,核對驗證碼無誤,數據合法后 寫入數據庫完成

用戶如果再發布一條,正常情況下,會再次訪問表單頁面,驗證碼圖片被動 更新, session 和 cookie 也就跟著變了
但是灌水機操作 不一定非要使用表單頁面,它可以直接 模擬post 向服務端程序 發送數據;這樣驗證碼程序沒有被調用,當然session和cookie存儲的加密驗證碼就是上次的值,也就沒有更新,這樣以后無限次的通過post直接發送的數據 ,而不考慮驗證碼,驗證碼形同虛設!

所以,在核對驗證碼后 先將 session和cookie的值清空,然后做數據合法性判斷,然偶入庫!
這樣 一個漏洞就被補上了!

舉例:
表單頁面
復制內容到剪貼板
代碼:
<form action="save.php" method="post">
......
<input type="text" name="vcode" size="4" /> <img src="vcode.php" alt="看不清請刷新頁面" />
</form>
生成驗證碼圖片的程序
復制內容到剪貼板
代碼:
<?php
session_start();
......
$v = new authcode();
$vcode = $v->getauthcode();
$_session['vcode'] = md5($vcode );
........
?>
form 數據接受處理程序
復制內容到剪貼板
代碼:
<?php
if ( md5($_post['vcode']) == $_session['vcode']  ) {
    $_session['vcode']='';//這句非常重要
} else {
    exit '驗證碼不對!';
}
//接下來的處理
......
?>

該文章在 2010/7/29 0:10:13 編輯過
關鍵字查詢
相關文章
正在查詢...
點晴ERP是一款針對中小制造業的專業生產管理軟件系統,系統成熟度和易用性得到了國內大量中小企業的青睞。
點晴PMS碼頭管理系統主要針對港口碼頭集裝箱與散貨日常運作、調度、堆場、車隊、財務費用、相關報表等業務管理,結合碼頭的業務特點,圍繞調度、堆場作業而開發的。集技術的先進性、管理的有效性于一體,是物流碼頭及其他港口類企業的高效ERP管理信息系統。
點晴WMS倉儲管理系統提供了貨物產品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質期管理,貨位管理,庫位管理,生產管理,WMS管理系統,標簽打印,條形碼,二維碼管理,批號管理軟件。
點晴免費OA是一款軟件和通用服務都免費,不限功能、不限時間、不限用戶的免費OA協同辦公管理系統。
Copyright 2010-2025 ClickSun All Rights Reserved