渗透测试 Wiki任意用户登录漏洞修复方案漏洞修复方案 若设置了万能验证码在投入的生产环境的时候需要将其删除 若使用固定框架及时更新版本 禁止服务器返回验证码在返回包中 校验用户传入的验证码与当前手机号是否绑定,而不是只单独校验验证码是否正确 设置验证码失效时间并设置验证码尝试次数过多失效 修改验证逻辑,如是否登录成功服务器端返回一个参数,但是到此就是最终验证,不需要再对返回的参数进行使用并作为登录是否成功的最终判断依据