密码重置6位数验证码绕过问题【思路】

记得以前密码重置刚出来的时候，四位数验证码绕过满天飞。如下：

然后，进行爆破就可以重置密码了：

后来，验证码重新设置为6位数验证码，但是如果不对过期时间进行限制，依然可以被爆破。6位数，理论上来说，有一百万种可能。在这里以个人笔记本为例，一般最大线程为200。

所以一共需要5000秒，爆破完毕。 折算成分，就需要83分钟，也就是一个多小时。虽然攻击成本上升，但是还是可以进行破解。如果用服务器破解，速度更快。

有时候主站，对爆破时间和频率进行了限制，但是一般都会设置10分钟-15分钟的过期时间。这里不讨论服务器的爆破情况。

 

但是，分站却因此而疏忽，在这里给出例子：

http://www.freebuf.com/vuls/164652.html

所以，鸡肋的未必不好用。 鸡肋的掌握多寡决定着你与他人的差距。