来源:自学PHP网 时间:2015-04-17 10:16 作者: 阅读:次
[导读] 验证设计存在逻辑问题,验证通过的key对没有时间限制。一次正常通过的key对可以无限次通过验证,验证码形同虚设上述代码为印象码提供的sdk,可以看到其网站主后台判断用户是否通...
|
验证设计存在逻辑问题,验证通过的key对没有时间限制。一次正常通过的key对可以无限次通过验证,验证码形同虚设
 上述代码为印象码提供的sdk,可以看到其网站主后台判断用户是否通过验证是通过一个简单的md5计算后的比较进行的,没有设计时间问题,所以,任何时候,可以通过的key对都可以通过。其没有考虑验证过期的问题
 通过这段代码对其官方提供的php版本demo进行测试,发现上午说明成立。
修复方案:
方式一: 加入时间戳
缺点:网站主服务器时间错误将无法通过验证
方式二:
网站主拿到前台传回的信息后去印象码服务器验证,如果通过,印象码服务器将次key对的状态标记为过期。
缺点:对服务器实时性要求高
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
