【Web安全】图片验证码DOS漏洞
文章目录
- 免责声明
- 一、漏洞原理
- 二、测试步骤
- 三、测试案例
- 四、修复方式
免责声明
在网络安全领域,技术文章应谨慎使用,遵守法律法规,严禁非法网络活动。未经授权,不得利用文中信息进行入侵,造成的任何后果,由使用者自行承担,本文作者不负责。提供的工具仅限学习使用,严禁外用。
一、漏洞原理
开发者在网站开发过程中为了图片验证码能够适应网站在显示过程中的大小,从而加入了隐藏参数,当这个参数被攻击者猜测出来以后,攻击者就可以修改图片验证码、二维码的大小,让服务器返回的验证码无限放大,最终导致服务端生成的图片超级大然后网站停止服务。
二、测试步骤
1、点击图片验证码进行抓包
2、在请求后面拼接隐藏参数:height、width、size、mergin、h、w等,实战过程中以h、w、height、width居多
3、逐步增加大小,例如:第一次:height=111 第二次:height=