我的网站是在 asp.net 中构建的,我遇到的问题是忘记密码页面,需要用户输入电子邮件和 6 位验证码(如图所示)。页面上还有一个隐藏字段(保存加密的随机生成的验证码)。用户输入的值(txtcaptcha)与隐藏值(hfcode)匹配。渗透测试发现当此页面从 burpsuite 截获时,建议的问题显示隐藏字段值,因为它在客户端使用它(隐藏字段值)任何人都可以发送多个请求并使用有效电子邮件向用户发送垃圾邮件。
有没有办法在每次使用后使每个验证码失效?或者当从开发人员工具(如 burpsuite)测试时,隐藏字段的值可能不会以某种方式显示?该应用程序不是我构建的,因此很难提出解决方案。