漏洞描述

由于图片验证码未做好前后台的统一校验，可重复利用验证码，以及无登录错误次数限制等，导致攻击者可对账号与密码进行的穷举测试，从而获取网站登录访问权限

漏洞复现

第一步 抓包获取登录数据包，默认口令Admin123

第二步 发送到Intrude模块
注意：此时原始数据包直接drop,或者一直卡包，

第三步 查看返回结果
发现图片验证码是生效的，一直在校验用户名和密码等信息
接口没有做校验，导致的图片验证码可以重复利用
只是前端做了验证码校验，后台没有做校验，到时可以直接利用
正确逻辑：只要提交一次，服务器就失效，自动更新验证码，不能让重复利用