漏洞类型：拒绝服务漏洞

原理：通过控制修改验证码的长和宽，请求大量资源，导致拒绝服务漏洞，可以通过数据包的返回量值和返回时间来判断是否存在该漏洞。

实战报告

在获取验证码的时候进行抓包

右键打开验证码图片，或者直接进行抓包，可以看到存在如下URL

https://xxxxxx/index.jsp?m=vfycode&c=VerifyCode&a=CreateCode&width=68&height=27

height和width为图片的长宽并且可控

修改参数观察响应时间（burp和前端都可）  这里截取F12开发者工具的network中的响应时间：

68x27时：94ms左右

1111x1111时：213ms

3333x5555时：2.13s

并且图片无限制放大

15000x15000时：14.36秒，请求资源变为3MB多.

未避免服务器拒绝服务，这里测试到此为止，证明漏洞存在即可

更多漏洞挖掘，请关注我