关于验证码不过期漏洞修补方法
漏洞描述
攻击手法
代码分析
request.getSession().setAttribute("CHECKCODE_SERVER",checkCode);
//2.获取数据
String verifycode = request.getParameter("verifycode");
String checkcode_server = (String)request.getSession().getAttribute("CHECKCODE_SERVER");
//进行验证码校验
if (!verifycode.equalsIgnoreCase(checkcode_server)){
//验证码错误
request.setAttribute("checkimgerror","验证码错误");
request.getRequestDispatcher("/login.jsp").forward(request,response);
return;
}
加固方法
//销毁
request.getSession().removeAttribute("CHECKCODE_SERVER");
注意
如有侵权,请联系删除
推荐阅读
原文始发于微信公众号(橘猫学安全):验证码不过期漏洞-加固方法(java)
特别标注:
本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论