转自行云博客https://www.xy586.top/原理CSRF（Cross-site request forgery）跨站请求伪造：通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通...

近期安全测试时发现一个系统前台使用了SSO，但是在比较隐蔽API中发现了后台的登录接口，该接口未使用SSO，同时没有图形验证码等校验，通过分析最终爆破进入后台。...

我们在开发用户登录功能的时候，总是会被要求加一个验证码的功能！那么，为什么要加这个验证码？验证码有什么作用？常见的验证码有哪些？

Google Authenticator(谷歌身份验证器)，是谷歌公司推出的一款动态令牌工具，解决账户使用时遭到的一些不安全的操作进行的“二次验证”，认证器基于RFC文档中的HOTP/TOTP算法实现 ，是一种从共享秘钥和时间或次数一次性令牌...

第一种做法是把动态验证码的功能放到后台来做，每次刷新验码需要请求下后台。需额外给服务端造成点负担。

利用手机号直接登录账号在现有的app、微信小程序以及各大网址上都比较常见。利用手机号直接登录账号它省略的用户密码这一环节，直接采用验证码的形式进行用户身份验证，在一定程度上解决了因为用户个人原因造成的密码遗...

本文主要讲解 Python 后端部分，由于仅仅用到了 vue 作为 js 框架并非前后端分离项目，故前端不单独介绍。

那么如何新增一个自定义的授权模式，比如像下面这样根据手机号和短信验证码进行登录呢？

在我们写爬虫的过程中，目标网站常见的干扰手段就是设置验证码等，本就将基于Selenium实战讲解如何处理弹窗和验证码，爬取的目标网站为某仪器预约平台...

这次是我的一个客户，他们公司即将有一个统一身份入口系统年前想上线正式开始使用，所以叫我过去先简单的帮忙看看能不能找出点漏洞。