很久以前,網際網路的江湖中突然出現了一門新的武功,它的招式堪稱精幹巧妙,雖然它並沒有什麼殺傷力,但是卻可以強身健體!於是乎,上到武林三大幫派bat,下至無名小卒都在練習使用。這一招便是久負盛名的「手機驗證碼」。
然而,有的人天生就是骨骼清奇,練武奇才,對於這門武功運用自如合理,不會傷及自身。有的人卻是笨拙,照貓化虎學走了樣,久而久之,輕者先傷己再傷人,重者走火入魔自廢武功。
誠然,手機驗證碼的廣泛使用,一方面人們可以很方便地驗證身份,另一方面,武林中人也可以很方便地獲取使用者的聯絡資訊。但是,越來越多的人,在修習這門武功之前並沒有做好準備。
有的公司吧,他們確實做出了手機驗證的相關動作,但是特別可笑的的是,經常如下面這樣
直接將驗證碼明文返回,在前端做校驗。***,老師出了題,卻在考試時不小心把答案也發給了學生,結果大家都考100分。這種錯誤是最low的,但是我卻在很多產品中發現過這樣的問題!也有幾個比較知名的產品。
還有一種情況,不會發生1.1中所講的漏洞。但是,武林中一句廣為人知的知識點:
「天下武功,唯快不破!」
舉個栗子,當獲得驗證碼之後就是進行註冊或者修改密碼的操作,會是如下的乙個請求
--compressed唯快不破
假設驗證碼是乙個4位隨機數,每一次請求會有0000-9999一萬種可能。假設有效期是5分鐘。一般5分鐘之內搞對面伺服器1w次也不會搞趴吧。那就最多搞它1w次,成功之後立馬停止,這樣,你根本不需要真的接收到驗證碼舊可以做你想做的事情了!
有的驗證碼甚至沒有時間限制 qaq
曾經發現一家,頁面原始碼裡面寫著成功後重定向的頁面鏈結
你要闖關,對面站了一頭老虎,你卻突然發現乙個門,直接通關了。。。。。
以上情況你都會發現獲得很多的超級vip使用者,手機號諸如 188-8888-8888
首先,明文回傳的驗證碼這招立馬改了!再練下去小命都難保了。
唯快不破,雖然不假,但是,那是你的地盤,規矩當然由你定!你可以規定對方只能出三招!任你再快,我只接3招。避免人家快刀亂砍亂了自己陣腳。再者,你來踢館好多次一直失敗,就在門口掛個 「xx與狗不得入內」(黑名單)。
網際網路是誰的江湖?
phpcms 鐘勝輝從酷六離職的訊息我是三月五日晚上從阿甘那裡知道的。想想送別鐘勝輝離開西安,也剛好是去年的三月份,在徐家莊村外科技路上的乙個飯店,20多人一起為鐘勝輝辭行,鐘勝輝當時告訴我要做一套 php 的執行環境與 phpcms 一起發行,以解決某些使用者配置 php 環境的困難 後來這個想法...
網際網路與網際網路的區別
網際網路的英文單詞是 internet,網際網路的英文單詞是 internet。在英語中,專有名詞首字母都是大寫,用於特指某一事物。大寫的 internet 是作為乙個專有名詞出現的,所指的是由阿帕網發展而來的現如今全球最大的計算機網路,稱之為網際網路。小寫 internet 是作為乙個普通單詞出現...
網際網路大佬吸引天使的「上帝之手」
所謂 上帝之手 就是指在網際網路創業的茫茫人海之中,使其能夠淘汰對手並脫穎而出的關鍵之處,同時也是他們的優勢所在。啟示一 沒錢,一樣可以創業 馬雲三次 白手 創業 在現在的職場中,有一大部分人都不肯安於現狀但卻沒有勇氣去自己創業,其中聽到最多的理由就是 現在還沒錢。但是,作為網際網路業內的明星級創業...