首页 > 其他分享 >暴力破解补充:空的认证信息对应空验证码

暴力破解补充:空的认证信息对应空验证码

时间:2023-01-25 17:59:00浏览次数:64  
标签:暴力破解 验证码 用户 session 服务器 认证 id

暴力破解补充:空的认证信息对应空验证码

一、身份认证过程

服务器通过session id来判断用户

第一次访问时,服务器会给客户端一个cookie,cookie中包含着session id

用户再次登录时,会带着session id和验证码code去请求

服务器会把发送来的session id取出,到session表中查找,因为之前访问过,所以session表中存有访问的信息,然后对比发送的验证码与存储的验证码是否相等

二、空的认证信息对应空验证码

若提交的请求没有session,也不提交验证码,都为空

此时服务器依然会去找用户,但是找的是session id为空的用户,并且能在session表中找到空

然后对比用户输入的验证码和存储的验证码是否相等,而空的用户对应的验证码也为空,那么空等于空,则通过验证

标签:暴力破解,验证码,用户,session,服务器,认证,id
From: https://www.cnblogs.com/vinslow/p/17067084.html

相关文章

  • PostgreSQL(PG)考试认证 2023新春计划
    邀请返现每人可向PGCCC官方班班索要一个码,每邀请1人报名成功,可返50元,上不封顶本活动仅限PCP、PCM在被邀请人完成考试后,返还。(不报名也可以参与) 特惠日期:2023年1月2......
  • kaptcha验证码不显示解决办法
    前端Vue+后端Springboot、Mybatis的弱鸡项目不显示具体情况:前后端启动项目都不报错且验证码请求200,但是验证码无法显示后端配置类如下:CorsConfig:packagecom......
  • nginx添加身份认证
    前言有一些静态网站资源,我们不希望所有人都可以访问,那么可以简单使用nginx内置模块实现身份认证。实现修改配置文件:auth_basic"nginxbasichttptest";auth_basic_u......
  • nginx添加身份认证
    前言有一些静态网站资源,我们不希望所有人都可以访问,那么可以简单使用nginx内置模块实现身份认证。实现修改配置文件:auth_basic"nginxbasichttptest";auth_basic_us......
  • web开发的模式的介绍与身份认证
    web开发的模式的介绍1.服务端渲染2.前端端分离开发的web模式服务端渲染优点与缺点优点:1.前端耗时少。因为服务器端负责动态生成HTML内容,浏览器只需要直接渲染页面即......
  • ISO环境体系认证都需要准备什么材料呢?
    ISO环境体系证书监督、复查、换证相关说明!ISO14001环境管理体系认证监督检查、复审、换证是为了什么呢?大家都已经获得证书,做了年审监督或者换证了吗?在ISO14001环境管理体系......
  • Github认证
    1、前言Github关闭了密码认证,现在还有两种认证方式tokenssh本人一直都在使用idea的可视化界面,进行git的操作,第一次使用bash进行初始化时遇到了身份验证的问题。现在......
  • ISO认证是什么?ISO三体系认证有什么不同之处?
    说到ISO体系认证大家应该都非常的熟悉,ISO三体系认证中包含了ISO9001的质量管理体系认证、ISO14001的环境管理体系认证和ISO45001的职业健康安全管理体系,在之前的文章中龙翊......
  • Django自定义认证系统原理及源码分析解读
    疑问Django在​​如何自定义用户登录认证系统的时候​​,大家都会里面立马说自定义一个或者多个backend,比如通过账号+密码、邮箱+密码,邮箱+验证码、手机号+短信验证码等等......
  • 自动化测试验证码问题
    1.验证码作用不少网站在用户登录、用户提交信息等登录和输入的页面上使用了验证码技术。验证码技术可以有效防止恶意用户对网站的滥用,使得网站可以有效避免用户信息失窃......