Security 資訊安全

遠通電收的查詢系統,黑客的聰明選擇

【編按】:目前遠通電收已經把驗證碼機制換成Session-based驗證機制,安全性比較高一些了。我來幫忙補完好了。MouseMs 的文章指出,遠通eTag的驗證碼產生方式,是使用Authentication Code + Plaintext 的方式來做驗證。 看樣子沒什麼問題。但是它最大的敗筆在於三個部分:1. 把Authentication Code的圖片檔及其相關驗證碼資訊「存到伺服器」 (也就是把輸入的驗證碼存起來的意思)。    【小實驗】:    各位可以輸入 https://css.fetc.net.tw/CS/Ajax/GetAuthImage/ohMt1pFQ0is1 ,會得到一個VCode.png1,把這個檔案副檔名改為.png,    看看是不是都是「XR8DJ」?2.