漏洞类型:拒绝服务漏洞
原理:通过控制修改验证码的长和宽,请求大量资源,导致拒绝服务漏洞,可以通过数据包的返回量值和返回时间来判断是否存在该漏洞。
实战报告
在获取验证码的时候进行抓包
右键打开验证码图片,或者直接进行抓包,可以看到存在如下URL
https://xxxxxx/index.jsp?m=vfycode&c=VerifyCode&a=CreateCode&width=68&height=27
height和width为图片的长宽并且可控
修改参数观察响应时间(burp和前端都可) 这里截取F12开发者工具的network中的响应时间:
68x27时:94ms左右
1111x1111时:213ms
3333x5555时:2.13s
并且图片无限制放大
15000x15000时:14.36秒,请求资源变为3MB多.
未避免服务器拒绝服务,这里测试到此为止,证明漏洞存在即可
更多漏洞挖掘,请关注我