关于SSL VPN认证时的验证码绕过

一三五七九 1379

验证码可绕过

威胁等级:高危

漏洞描述:用户登录,若多次尝试登陆失败会要求输入验证码,若输入错误的验证码,会提示“校验码错误或校验码已过期”;修改登录请求的数据包,清空cookie和验证码字段的值即可绕过验证码,此时提示“用户名或密码错误”。

SSL VPN M6.3R1

测试截图:

111.png

图 1.1  输入错误的验证码

2222.png


图 1.2  若验证码错误,提示“校验码错误或校验码已过期”
修改登录请求数据包,清空cookie和验证码字段值
3333.jpg

4444.png

然后就不需要验证码了。
修复建议:改进验证码的验证机制。


以上问题不知道有没有其他客户反馈,新版本有没有解决?

该疑问已被 解决,获得了 30 S豆

回帖即可获得
2S豆
×
参与回帖,有更多机会领取S豆哦 立即回帖>>
,被楼主采纳即奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

您好 麻烦稍等,这边确认后答复您~~
本答案是否对你有帮助?
一三五七九 发表于 2016-9-19 11:19
  
估计客户漏扫服务发现的问题,还定义个高危。。。属实的话求研发哥改改。
Sangfor闪电回_小丸子 发表于 2016-9-19 11:25
  
您好 麻烦稍等,这边确认后答复您~~
陈智强 发表于 2016-9-19 11:26
  
给力!!!!!!!
小z 发表于 2016-9-19 16:55
  
改机制吧,做成12306的
×
有话想说?点这里!
可评论、可发帖

等我来答:

换一批

发表新帖

本版版主

24
39
78

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人