肯定是验证码呀!!!这是毋庸置疑的。但是发现有人会验证密码,感觉先验证密码和先验证验证码是一个概念是一样的。但是其实是完全不一样的。下面我们来一起详细的剖析一下:
消耗资源:密码存储于数据库,验证密码需要先获取token、读取数据库、加密解密、等。一般验证码也不会存进数据库,都是一次性的,随机出现。也就可以省去这些资源的消耗。
安全角度来讲:密码是唯一的,但是验证码是一次性的。如果先验证密码,后验证验证码。不坏好意的人可以先将验证码程序关闭,爆破获取到密码,反正先验证的是密码嘛,后面的程序运不运行不所谓,反正得到了密码,手动输入都没有关系。而验证验证码的话,验证码不是固定的,使用上面的方法根本就行不通。
虽然还有很多手段可以获取,但是这个漏洞肯定不能留呀!!
如果有问题,欢迎大佬们多多指导