验证码业务逻辑漏洞

简单学习了一下php的gd库，也就是图形处理，主要是验证码相关的。

验证码可以有效防止暴力破解，也可以用来防止恶意灌水、广告贴等，原理就是生成验证码的时候也会生成一个字符串到session中，然后用户根据图片进行输入、提交，再判断是否能和session中的值匹配上，通常验证码图片会加入一些噪点、干扰线等。验证码的机器识别大概分为四个步骤，取出字模、二值化、计算特征、对照样本，可以采用让验证码更“乱”的方式提高安全性，比较高级的是通过神经网络进行识别，但是这样学习成本太高。

另外，如果验证码仅仅为4位纯数字这样，也是非常容易被暴力破解，尝试10000次一定能破解一个验证码，利用爆破工具，设置上几十个线程，破解只需要几分钟，建议采用非纯数字且6位的验证码。

空验证码突破：大多数验证码的生命周期是这样的：用户访问页面，生成code并保存到session中，用户提交验证码，服务端进行对比。试想，如果我们不去访问页面，二十直接提交表单，这个时候服务端是没有产生code的，当我们提交表单的验证码为空，正好和服务端对应，php是弱类型语言，就绕过了验证码。就像下面这个逻辑：

<?php
    if($_POST["code"]!=$_SESSION["code"]){
        unset($_SESSION["code"]);
        return['status'=>false,'msg'=>'验证失败'];
    }
return['status'=>'ture','msg'=>'验证成功'];

它在验证失败以后把session里的code删掉了，而这个时候我们直接repeat，就可以打这个漏洞。

另外还有一个逻辑漏洞，就是很多网站为了方便用户，在他们第一次登录无需验证码，如果这个“第一次”的判断条件是我们可控的，比如cookie，我们删掉以后就可以绕过。