0×00 前言
其实drops里面已经有小胖胖@小胖胖要减肥 和A牛@insight-labs 相应的文章,只是觉得应该有个入门级的“测试用例”。本文不涉及OCR,不涉及暴力四六位纯数字验证码,不涉及没有验证码的情况(神马?没有验证码?没有 验证码还讨论什么,要不人家不 care,要不人家已经胸有成竹有更牛逼的方法)。本文可能会与之前的某些文章有重合,可能与drops的“最严肃的安全原创平台”气质不符,请在家长指 导下阅读。
首先,我们来看下整个验证码实现的原理
图一
- 1.客户端发起一个请求
- 2.服务端响应并创建一个新的SessionID同时生成一个随机验证码。
- 3.服务端将验证码和SessionID一并返回给客户端
- 4.客户端提交验证码连同SessionID给服务端
- 5.服务端验证验证码同时销毁当前会话,返回给客户端结果
0×01 安全问题及案例
根据上面的实现流程,我们大概可以从四个方面入手,客户端问题、服务端问题、验证码本身问题,还有一个验证码流程设计问题。
1. 客户端问题
客户端生成验证码
验证码由客户端js生成并且仅仅在客户端用js验证
WooYun: 南开大学信息门户网站设计不当可以爆破用户密码(利用密码猜用户)
验证码输出客户端
输出在html中(神一样的程序员)
WooYun: 某会考报名系统验证码绕过可暴力破解(可导致用户信息泄露)
验证码输出在cookie中,这个在乌云中案例也是比较多的。
2. 服务端
验证码不过期,没有及时销毁会话导致验证码复用
这个是最常见的,乌云上面有大量的案例。
WooYun: 苏宁易购某系统后台多个超级管理员弱口令(验证码可重复利用)
没有进行非空判断
很多时候,我们会遗留掉了验证过程中验证码为空的情况
比如去掉cookie中的某些值或者请求中验证码参数
产生的验证码问题集内的答案非常有限
WooYun: 139邮箱图验证码绕过漏洞(目前图形验证码的可预测案例)
3. 其他类型验证码绕过
“调试功能”还是设计缺陷?
WooYun: 正方教务管理系统设计错误,可绕过验证码进行暴破或扫弱口令
“逗你玩”类型
有验证码,你输入什么 ,它都给你过,不验证
万能验证码(后门?)
4. 验证码太简单,容易被机器识别
直接引用猪猪侠的两个金融案例
0×03修改建议
梳理清楚验证码实现逻辑。(包括不限于验证码会话及时销毁等) 验证码不要太简单。扭曲、粘连等。
推荐Google的ReCaptcha
0×04 参考
https://www.owasp.org/index.php/Testing_for_Captcha_(OWASP-AT-008) http://www.mcafee.com/uk/resources/white-papers/foundstone/wp-attacking-captchas-for-fun-profit.pdf http://www.lijiejie.com/safe-issues-of-captcha/ http://*.wooyun.org