一码多用
后端未对单次验证码的有效时间和有效次数限制
或者
验证码仅在前端校验,后端不校验
导致
单次验证码可多次使用
造成
账号密码可被枚举
图片验证码ddos
影响验证码图片大小的参数前端可控,如参数在url中
导致
可修改参数并利用burp批量发包
造成
ddos消耗服务器资源
存在通用验证码
开发人员为了测试设立的通用验证码如1111未及时删除
动态验证码有效域/归属不严密
后端未对动态验证码如短信验证码的有效域或归属做严格限定
导致
A的短信验证码对B可用
造成
任意用户密码重置等
弱验证码
容易枚举的4位数验证码且未对试错次数限制
图片验证码参数可控
涉及参数=》图片大小参数,验证码字符数量参数。。。
与ddos不同的是,此处的修改,导致后端生成验证码的代码逻辑改变
此时前端刷新后产生的验证码是由修改后的代码逻辑生成的
短信验证码劫持
修改请求验证码的发送包
phone=手机号1,手机号2
phone=[手机号1,手机号2]
导致两个手机号都接收到相同的验证码,造成劫持效果
验证码明文返回
别笑,不仅有还不止一个站