CWE-804 可猜测的验证码 类漏洞列表 11

CWE：CWE-804 Guessable CAPTCHA（可猜测的验证码） 英文：产品使用了验证码（CAPTCHA）挑战，但该挑战可以被非人类行为者猜测或自动识别。 自动化攻击者可以绕过验证码（CAPTCHA）挑战的预期保护，并以超过人类可能频率执行操作，例如发起垃圾邮件攻击（spam attacks）。可猜测的验证码（Guessable CAPTCHA）可能有几种不同的原因：音频或视觉图像未对未混淆的源图像进行足够的扭曲处理；问题以可被自动识别的格式生成，例如数学问题；可能的答案数量有限的问题，例如出生年份或喜爱的运动队；可以通过数据库访问答案的常识或 trivia 问题，例如国家首都或知名娱乐明星；与验证码（CAPTCHA）关联的其他数据可能提供关于其内容的提示，例如文件名中包含验证码（CAPTCHA）所用单词的图像。