背景:
安全部門發了一個文檔,說我們平臺登錄的驗證碼有被暴力破解的風險。立馬看看:
漏洞風險等級:低危
涉及頁面及url:http://xxxx.com/#/login
涉及參數:--
漏洞描述:登陸界面由於驗證碼不失效,導致可以暴力破解,但破解得到的賬戶無法登錄。
修復建議:後臺設置驗證碼使用一次失效
處理:
主要做好2兩點:一是登錄失敗要刷新驗證碼。二是後端服務在驗證後不管成功失敗要把登錄失敗的驗證碼失效。
我梳理了一下流程,紅色爲建議改進的步驟。
https://www.processon.com/view/link/5ed7608e0791291d5dbf517f
