你的网站注册页面的验证码起作用了吗???
2005-08-27 09:42
549 查看
今天老大让我研究一下注册页面的验证码,因为许多同事认为我们公司注册页面的验证码做的太简单了,偶之前也没做过这个,不过要做这个之前得要先研究一下其原理啊什么的,从公司之前做的一个版本的源码中发现了这么一个bug,而且这个bug可就很容易让一些图谋不轨者进行恶意注册哦,他完全可以绕过你在注册页面中显示的图片验证码.
从源码中发现,其实验证码是记录在Session中的一个随机产生的值,当注册失败时这个值会重新产生,但是注册成功以后居然没有把这个值改掉.这样的话就有可能会发生这种情况,我请求了N个注册页面,然后记录最后一个注册页面的验证码,然后在所有注册页面的验证码处填写这个值,我只要保证每次提交的内容能够注册成功就可以了,这样岂不是一下子就能注册N个账户,这样的话你的验证码的防恶意注册功能又在何处体现出来呢?
我想这可能并不是我们一家网站存在的问题,于是上网随便找了个注册网站http://register.ourgame.com/regist/index.html,首先用浏览器拉两个注册页面过来,记下后面拉过来那个注册页面上的验证码,然后将信息填写好,注意在验证码那里我都填了后面那个页面的,点击注册,ok第一个用户注册成功,在将第二个注册信息提交,ok也注册成功.好了,例子不多举了.
最后,建议各网站的管理员,看看你们的验证码发挥了作用没??如果没有的话,请在注册成功后将Session中的验证码信息改掉或清空掉.
写以上心得不是让大家去写段程序去恶意注册这些存在漏洞的网站,而是让这些网站的管理员能及时发现其实你们的网站已经有漏洞的,请及时修补哦!!
Good Luck !!!!
从源码中发现,其实验证码是记录在Session中的一个随机产生的值,当注册失败时这个值会重新产生,但是注册成功以后居然没有把这个值改掉.这样的话就有可能会发生这种情况,我请求了N个注册页面,然后记录最后一个注册页面的验证码,然后在所有注册页面的验证码处填写这个值,我只要保证每次提交的内容能够注册成功就可以了,这样岂不是一下子就能注册N个账户,这样的话你的验证码的防恶意注册功能又在何处体现出来呢?
我想这可能并不是我们一家网站存在的问题,于是上网随便找了个注册网站http://register.ourgame.com/regist/index.html,首先用浏览器拉两个注册页面过来,记下后面拉过来那个注册页面上的验证码,然后将信息填写好,注意在验证码那里我都填了后面那个页面的,点击注册,ok第一个用户注册成功,在将第二个注册信息提交,ok也注册成功.好了,例子不多举了.
最后,建议各网站的管理员,看看你们的验证码发挥了作用没??如果没有的话,请在注册成功后将Session中的验证码信息改掉或清空掉.
写以上心得不是让大家去写段程序去恶意注册这些存在漏洞的网站,而是让这些网站的管理员能及时发现其实你们的网站已经有漏洞的,请及时修补哦!!
Good Luck !!!!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- JS实现验证码倒计时的注册页面
- 注册页面加验证码
- 网站登录页面,验证码的一个生成方法
- Android 注册页面 设置显示或者隐藏密码 和 点击获取验证码倒计时60s
- 网站、手机验证码开发(手机注册验证)
- 如何在注册页面,获取验证码的值。
- 由一个网站注册验证码带来的思考
- 网站注册页面显示(表单标签)
- 验证码倒计时的注册页面
- 一个成功获取百度注册页面验证码图片的源代码
- vs2010asp.net网站制作用户注册登录界面源代码(包含验证码)并把用户信息保存到数据库sql2008
- javascript 网站注册页面的客户端验证程序
- jsp页面生成<注册验证码>
- 方维分享系统注册页面验证码不显示怎么解决?
- 页面实现验证码功能,点击“注册”按钮后,无论是否完成注册,验证码都能够自动刷新
- 带有验证码的网站的注册功能
- android一个注册页面和验证码的实现
- 无聊地分析下某网站的注册验证码
- WEB开发之注册页面验证码倒计时代码的实现
- 网站注册页面Demo及表单验证功能源码