Question

9.2.1 测试原理和方法

在网站的登录或评论等页面，如果验证码认证成功后没有将 session 及时清空，将会导

致验证码首次认证成功之后可重复使用。测试时可以抓取携带验证码的数据包重复提交，

查看是否提交成功。

9.2.2 测试过程

攻击者填写投诉建议，输入页面验证码，抓取提交的数据包，使用发包工具对数据包

进行重复提交，然后查看投诉建议页面是否成功提交了多个投诉信息，如图 9-6 所示。

图 9-6 验证码重复使用测试流程

以某 App 手机客户端应用程序为例。

步骤一：在客户投诉建议处，输入要投诉的内容，并输入验证码，如图 9-7 所示。步

骤二：抓取数据包并修改投诉内容参数 complaintsContent 的值，如图 9-8 所示。通过 Burp Suite 工具重复提交投诉信息，如图 9-9 所示。

图 9-7 填写投诉信息

图 9-8 抓取数据包

图 9-9 暴力重复提交

步骤三：经过暴力重复提交后，客户端显示提交成功，如图 9-10 所示。

图 9-10 提交成功

步骤四：返回页面查看历史投诉建议内容，可看到通过首次验证码认证，成功提交了

多次投诉，如图 9-11、图 9-12 所示。

图 9-11 成功提交多次投诉

图 9-12 查看投诉信息

9.2.3 修复建议

针对验证认证次数问题，建议验证码在一次认证成功后，服务端清空认证成功的

session，这样就可以有效防止验证码一次认证反复使用的问题。