这个年头,验证码大家都见多了吧。或许很多人都嫌它烦,说实话,我也是(*^__^*)。其实对于一个站点来说,也是不得已而用之。但甚至有些WEB程序员本身也还不清楚验证码的作用。说白了,就是避免机器(程序)不停地自动提交。自动提交的目的嘛。。。注册很多账号,留言刷屏,暴力破解密码,DDOS。每一项都是让人头疼的事。虽然绝大多数人并不会这么做,但是会有人啊。其实真正的黑客都比较B4这些行为,因为没有技术含量。当然,发现某个站点可以做这些事的过程还是比较好玩的,但是已经知道如何做之后还做就没意思了...
先来看一些不负责的程序员吧。
1、直接用随机函数显示一段组合。汗。。。这个就不评价了,唬人都还差一点。
2、随机之后每个字符对应一张(或者对应几张,随机取出)图片,再显示出来。这个嘛,可以唬不懂技术的客户了。其实与第一种方法无异。没有任何差别。
好,再来看看一些常见的可以考虑绕过的验证码。
1、自动生成了图片型验证码,但是却用表单的hidden字段保存该随机值。这个嘛,只能说这种程序员糊涂~~白做工作嘛。。。
2、提示错误后返回验证码不刷新。这个只需人工查看一次之后就可以用自动程序暴力破解了,自动注册和刷屏倒是可能可以预防。
3、提示错误后只采用客户端代码来刷新。这个查看源代码,删掉刷新代码之后就可以了。
4、客户端刷新同时禁止站外提交,嘎嘎,抓包修改提交。
5、验证后验证码的session没有立即更改。无论是否验证通过都要立即更改。否则就可以抓包不断提交。
以上都是程序员的失误(或者根本就不知道)造成的。继续来看可以破解的验证码(在代码OK的基础上做图片识别了)。
1、单色图片型,但是每个字符对应一个(或多个取随机)等宽图片,然后组合成新图片。这个,自动切割,循环对比点阵。
2、单色图片型,每个字符一个(或多个取随机)等宽图片,组合时加随机X位移这个,边尝试边调整切割起点就是了。。自动破解效率下降。与这个类型类似的不说了。
3、背景唯一单色,字符杂点型。这个简单,不说。
4、背景随机单色。好说,取角就是了。
5、背景单色有杂店,这个。。。尝试每个点与周围一个范围内的点比,可以去除杂点。
OK,如果是其他的就恐怕很难破解了。比如背景线状噪声,字符随机变形、调整角度。。。。
我写这个是给WEB程序员们用的。让搞破坏的失望了。总结一下:图片型验证码,随机X,Y位移,随机角度,背景色随机,点噪声和线噪声,返回更新验证码,禁止站外提交,验证后无论成功失败都换掉验证码session。验证码函数需要对图片格式有一定了解才可以自己编写或修改,如果你暂时只能在网上找现成的,请尽量找个好的版本。但是代码级安全一定要保证。还有,效率问题。不要就生成一个验证码就耗很多时间。。。
转载于:https://www.cnblogs.com/wllblog/archive/2012/11/07/2758884.html