WEB安全討論-表單登錄是先驗證驗證碼還是密碼
表單登錄是先驗證驗證碼還是密碼?
肯定是驗證碼呀!!!這是毋庸置疑的。但是發現有人會驗證密碼,感覺先驗證密碼和先驗證驗證碼是一個概念是一樣的。但是其實是完全不一樣的。下面我們來一起詳細的剖析一下:
消耗資源:密碼存儲於資料庫,驗證密碼需要先獲取token、讀取資料庫、加密解密、等。一般驗證碼也不會存進資料庫,都是一次性的,隨機出現。也就可以省去這些資源的消耗。
安全形度來講:密碼是唯一的,但是驗證碼是一次性的。如果先驗證密碼,後驗證驗證碼。不壞好意的人可以先將驗證碼程式關閉,爆破獲取到密碼,反正先驗證的是密碼嘛,後面的程式運不運行不所謂,反正得到了密碼,手動輸入都沒有關係。而驗證驗證碼的話,驗證碼不是固定的,使用上面的方法根本就行不通。
雖然還有很多手段可以獲取,但是這個漏洞肯定不能留呀!!
如果有問題,歡迎大佬們多多指導
- 路由攔截和路由守衛
- 用漫畫的形式展現——URL和HTTP
- 前端面試題歸類-css的flex相關
- 前端面試題歸類-css
- 用漫畫的形式展現——什麼是web
- 前端面試題歸類-HTML2
- 漫畫|web的主要安全問題
