提示:本文共有 165 个字,阅读大概需要 1 分钟。
原本的图形验证码逻辑存在漏洞,用户在输入了正确的图形验证码后会产生一个有效的鉴权id,持续若干时间。在这个时间段内,都可以发送短信验证码的请求。我们在前端做了设置,只要用户点击了发送短信验证码,就同时触发一个刷新图形验证码的请求。但是没有考虑到攻击者可以通过接口绕开前端的限制,直接调用短信验证码的请求,达到刷我们用户信息的目的。
看到此处说明本文对你还是有帮助的,关于“测试小故事一则 逆向思考真的很重要。 · TesterHome”留言是大家的经验之谈相信也会对你有益,推荐继续阅读下面的相关内容,与本文相关度极高!