背景:
安全部门发了一个文档,说我们平台登录的验证码有被暴力破解的风险。立马看看:
漏洞风险等级:低危
涉及页面及url:http://xxxx.com/#/login
涉及参数:--
漏洞描述:登陆界面由于验证码不失效,导致可以暴力破解,但破解得到的账户无法登录。
修复建议:后台设置验证码使用一次失效 处理:
主要做好2两点:一是登录失败要刷新验证码。二是后端服务在验证后不管成功失败要把登录失败的验证码失效。
我梳理了一下流程,红色为建议改进的步骤。
https://www.processon.com/view/link/5ed7608e0791291d5dbf517f
