基于Burpsuite的安全测试十二:验证码机制测试
常见的验证码有图形验证码、短信验证码、邮箱验证码、滑动验证码、语音验证码
情景1:验证码暴力破解测试
- 短信验证码一般为4-6位数字组成,如果没有失效时间和尝试失败次数的限制,就可以在这个区间尝试暴力破解。
- 注册的时候,输入手机号点击获取验证码此时用Brup Suite抓取数据包,点击注册后通过抓取的包中对验证码参数进行暴力破解,破解范围为000000-999999、00000-99999、0000-9999。
- 通过返回值的长度判断哪个是正确的验证码,输入验证码输入框中成功注册。
系统修复方案:
设置验证码失效时间,如120s。
限制试错次数,如果10分钟内连续失败5次则锁定账号一天。
情景2:验证码重复使用测试
- 如用户在页面输入内容,并输入验证码,提交信息,通过抓到的包,修改提交内容后重复提交信息,可以提交成功。这种情况就行因为验证码在一次认证成功后,没有将认证成功的session清空,所以导致可以重复使用该验证码。
系统修复方案:
为了防止验证码一次认证反复使用的问题,可以在一次认证成功后服务器端清空认证成功的session。
情景3:验证码客户端回显测试
- 如果验证码在客户端生成而不是在服务端生成,就容易发生验证码泄漏问题。如重置密码功能,在前端页面输入他人手机号后获取验证码,通过抓包发现验证码在本地生成,输入本地生成的验证码后就可以继续操作,重置密码成功。
系统修复方案:
- 应采用服务器端生成验证码机制,避免在本地客户端生成。
- 设置验证码的时效性,如120s。
- 验证码应随机生成,使用一次就失效。
情景4:验证码绕过测试
- 可以通过修改前端提交到服务器返回的数据,来绕过验证码。如输入任意手机号和任意的验证码注册,通过Burp Suite对数据包进行截取,右击选择Do intercept-Response to request。然后单击Forward后,Burp显示的就是网站返回的数据包。因为验证码为随意输入的,所以相关返回字段有标识表明验证码正确还是错误,如返回res_code为1标识验证码错误,则可将其值改为0,尝试是否可以绕过验证码,改为0后继续Forward后,查看可以注册成功。
系统修复方案:
应该在服务器端增加验证码认证机制,对客户端提交的验证码进行二次校验。
情景5:验证码自动识别测试
- 验证码识别流程为 图像二值化处理---去干扰---字符分割---字符识别。
- 以登录为例子,首先通过多次刷新验证码,查看验证码组成规律。
- 其次,利用第三方工具对验证码进行图像二值化处理---去干扰,然后通过人工对比结果查看准确性。
- 对页面进行登录,并抓包,将抓取到的请求包放到PKAV HTTP Fuzzer工具的请求包内,设置验证码、用户名、密码的标志位。
- 启动开始对账号密码进行暴力破解,验证码会自动载入。根据请求结果可以看到正确的用户名和密码登录成功了。
系统修复方案:
- 为了防止验证码被识别,需要增加验证码复杂度
- 增加背景元素的干扰,如背景色、背景字母等。
- 字符的字体进行扭曲、粘连。
- 使用公式、逻辑验证等,人四则运算、问答题等。
- 图形验证码和使用者相关,比如选择最近联系人、最近购买的商品等。