更多公众号：gh_求真务实的创业公司，以生物识别技术简化人类生活，让人们在互联网时代可以更简单、更便捷、更安全的享受美好生活 最新文章相关推荐对这篇文章不满意？您可以继续搜索：百度：搜狗：感谢您阅读通过手机短信验证码验证身份真的安全吗？，本文可能来自网络，如果侵犯了您的相关权益，请联系管理员。QQ:安全校验Session验证码并避免绕开验证码攻击
字体：[ ] 类型：转载 时间：
校验验证码的Session是否为空或者校验用户输入的验证码是否合法，构造安全表单的关键就是永远不要相信用户的输入
已经记不得是在哪个网站上看到的了，一般情况下对于验证码的校验，大家很容易写成下面这样：
代码如下: &% If Request.Form("SecurityCode") = Session("SecurityCode") Then ' TODO : Database operations Else Response.Write "Security code incorrect!" End If %&
验证码图片产生Session("SecurityCode")并保存正确的验证码值，然后获得用户提交的验证码值，然后两个一比对如果一样则表示验证码正确，否则验证码错误。表面上这样的算法没有什么问题，但是对于一种特殊情况则会让验证码形同虚设。 首先我们知道，对于上面的算法有个核心的地方就是我们要访问产生验证码图片的那个文件才会有个保存验证码值的Session，然后才能对用户的输入进行正确的比对，假如有心人构造一个绕开验证码图片文件的Form然后进行提交会得到什么呢？Session("SecurityCode")不存在为空，如果此时用户验证码什么都不输入，这时验证码校验就形同虚设了。好，这里利用漏洞攻击的关键就是验证码的Session，我们很容易就能够让服务器不产生这个Session从而使这样的攻击变成可能。 解决的方法也很容易，校验验证码的Session是否为空或者校验用户输入的验证码是否合法，构造安全表单的关键就是永远不要相信用户的输入。下面采用校验验证码Session和用户输入的双保险办法解决这个安全问题：
代码如下: ' str为要校验的验证码，len为验证码长度 Function IsSecurityCodeValid(str, len) IsSecurityCodeValid = Not CBool( _ IsEmpty(str) Or CStr(str)="" Or Len(str)&len) End Function If IsSecurityCodeValid(Request.Form("SecurityCode"), 4) AND _ IsSecurityCodeValid(Session("SecurityCode"), 4) AND _ Request.Form("SecurityCode") = Session("SecurityCode") Then ' TODO : Database operations Else Response.Write "Security code incorrect!" End If
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具斗米兼职可靠吗？谢谢回答_百度知道