超碰人人人人人,色婷婷综合久久久久中文一区二区,国产-第1页-浮力影院,欧美老妇另类久久久久久

LOGO OA教程 ERP教程 模切知識交流 PMS教程 CRM教程 開發(fā)文檔 其他文檔  
 
網(wǎng)站管理員

驗證碼是怎樣被繞過的!

admin
2010年7月29日 0:10 本文熱度 5693
最近好多朋友遭遇驗證碼被繞過灌水的事情,他們給了我代碼,一看果不其然!
我們先來分析下,有驗證碼發(fā)布的流程
1,顯示表單
2,顯示驗證碼(條用生成驗證碼的程序), 將驗證碼加密后放進 session 或者 cookie
3,用戶提交表單
4,核對驗證碼無誤,數(shù)據(jù)合法后 寫入數(shù)據(jù)庫完成

用戶如果再發(fā)布一條,正常情況下,會再次訪問表單頁面,驗證碼圖片被動 更新, session 和 cookie 也就跟著變了
但是灌水機操作 不一定非要使用表單頁面,它可以直接 模擬post 向服務(wù)端程序 發(fā)送數(shù)據(jù);這樣驗證碼程序沒有被調(diào)用,當然session和cookie存儲的加密驗證碼就是上次的值,也就沒有更新,這樣以后無限次的通過post直接發(fā)送的數(shù)據(jù) ,而不考慮驗證碼,驗證碼形同虛設(shè)!

所以,在核對驗證碼后 先將 session和cookie的值清空,然后做數(shù)據(jù)合法性判斷,然偶入庫!
這樣 一個漏洞就被補上了!

舉例:
表單頁面
復制內(nèi)容到剪貼板
代碼:
<form action="save.php" method="post">
......
<input type="text" name="vcode" size="4" /> <img src="vcode.php" alt="看不清請刷新頁面" />
</form>
生成驗證碼圖片的程序
復制內(nèi)容到剪貼板
代碼:
<?php
session_start();
......
$v = new authcode();
$vcode = $v->getauthcode();
$_session['vcode'] = md5($vcode );
........
?>
form 數(shù)據(jù)接受處理程序
復制內(nèi)容到剪貼板
代碼:
<?php
if ( md5($_post['vcode']) == $_session['vcode']  ) {
    $_session['vcode']='';//這句非常重要
} else {
    exit '驗證碼不對!';
}
//接下來的處理
......
?>

該文章在 2010/7/29 0:10:13 編輯過
關(guān)鍵字查詢
相關(guān)文章
正在查詢...
點晴ERP是一款針對中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國內(nèi)大量中小企業(yè)的青睞。
點晴PMS碼頭管理系統(tǒng)主要針對港口碼頭集裝箱與散貨日常運作、調(diào)度、堆場、車隊、財務(wù)費用、相關(guān)報表等業(yè)務(wù)管理,結(jié)合碼頭的業(yè)務(wù)特點,圍繞調(diào)度、堆場作業(yè)而開發(fā)的。集技術(shù)的先進性、管理的有效性于一體,是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。
點晴WMS倉儲管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質(zhì)期管理,貨位管理,庫位管理,生產(chǎn)管理,WMS管理系統(tǒng),標簽打印,條形碼,二維碼管理,批號管理軟件。
點晴免費OA是一款軟件和通用服務(wù)都免費,不限功能、不限時間、不限用戶的免費OA協(xié)同辦公管理系統(tǒng)。
Copyright 2010-2025 ClickSun All Rights Reserved