首页
题库
面试
求职
学习
竞赛
More+
所有博客
搜索面经/职位/试题/公司
搜索
我要招人
去企业版
登录 / 注册
首页
>
试题广场
>
请尽可能列举你知道的网站未能正确使用图片验证码机制的情况,以
[问答题]
请尽可能列举你知道的网站未能正确使用图片验证码机制的情况,以及如何绕过其限制?
查看答案及解析
添加笔记
求解答(0)
邀请回答
收藏(73)
分享
纠错
6个回答
添加回答
6
牛客211924279号
1、有的网站验证码由本地js生成仅仅在本地用js验证。可以在本地禁用js,用burp把验证字段删除。
2、有的网站把验证码输出到客户端html中,送到客户端Cookie或response headers。
3、有些网站默认不显示验证码,而是在输入错误一定数量之后才需要验证验证码,开发人员可能在Cookie中写入一个标记loginErr,用来记录错误数量,则可以不更新Cookie中的loginErr值反复提交,验证码就不会出现。
发表于 2020-05-27 11:34:52
回复(0)
2
fallingskies22
1.验证码逻辑在前端代码中。通过分析逻辑计算出验证码。
2.验证码整齐且易识别。利用OCR自动识别验证码,利用卷积神经网络训练识别模型。
3. 验证码位数低,存在爆破可能。
4. 验证码存活时间过长,在识别一次后可持续利用。
发表于 2021-03-08 16:45:33
回复(0)
2
junknet
客户端:
1.验证码直接暴露在html
2.验证逻辑在客户端浏览器中
3.验证码的生成逻辑在前端,可逆向逻辑
4.验证码生成逻辑在后端,但是与前端某些值绑定,大量收集数据后可能分析出生成逻辑
5.图片很简单,ocr识别
6.存在爆破的可能,例如2位数字的验证码
7.指纹识别出后端语言,猜解出其验证码生存库;可本地搭建生成,ocr自己训练出识别模型
服务端:
1.验证码的存活期很长
2.验证码不验证错误后,不立即销毁
3.验证码生存受到前端参数的影响
4.验证码验证频率太高可导致本地资源耗尽,例如生存图片尺寸受到前端参数影响
5.直接验证用户名和密码,优先于验证码验证
6.跨用户,验证码复用
发表于 2020-08-20 01:29:46
回复(0)
0
羌梧
1.多数网站使用验证码的数量有限,包括验证码的组合方式,滑动的像素数都是不变的,如果不定时进行更新会导致攻击人员通多多次尝试来进行暴力破解。
2.某企业官网后台登录方式是单纯数字或者是一位英文+三位数字的方式的图片验证码,这会导致暴力破解变得容易。
3.在研发人员进行图片展示时会在后台附上图片编号,甚至是图片的路径,这可能直接导致可执行代码的漏洞,通过sql注入的方式来拿到数据库的权限。
发表于 2021-12-08 13:54:19
回复(0)
0
阿杨加油
客户端
1.验证码在前端使用JavaScript生成和认证,不经过服务端
2.验证码可以直接在返回包、html源码或者JavaScript源码中可以直接查看
3.验证码过于简单,可以直接使用类似验证码识别工具去进行爆破和绕过
服务端
1.服务端没有对验证码参数进行非空判断(删除验证码参数值或者全部删除)
2.开发人员为了方便测试和开发,忘记删除简单的验证码(比如:1234、6666、8888)
3.输入验证码点击登录抓包之后,如果页面不刷新或者说验证码不刷新,该验证码可以一直使用
编辑于 2020-08-17 09:22:35
回复(0)
0
一命赌快乐
客户端
1.在本地作验证码验证,可以通过burpsuite进行截取,修改后发出。
2.错误次数超过后才会显示验证码,可以选择不更新cookie中的logerror等字段避免出现
3.
有的网站把验证码输出到客户端html中,送到客户端Cookie或response headers。
服务端
1.验证码不过期,没有及时销毁会话导致同一验证码反复可用。
2.没有对验证码进行非空判断
绕过:
1.关闭js,看看验证码是否还生成
2.审查元素,看看能不能直接打开验证码网址
3.查看源代码,是不是存在验证码
4.抓包,查看cookie,看看是不是直接存在
5.验证码爆破
发表于 2020-06-27 17:41:33
回复(0)
这道题你会答吗?花几分钟告诉大家答案吧!
提交观点
问题信息
深信服
安全工程师
上传者:
小小
难度:
6条回答
73收藏
3115浏览
热门推荐
相关试题
子串模糊匹配
Java工程师
C++工程师
iOS工程师
安卓工程师
运维工程师
前端工程师
算法工程师
PHP工程师
测试工程师
深信服
评论
(82)
来自
深信服2019春招技术岗...
字符串全排列
Java工程师
C++工程师
iOS工程师
安卓工程师
运维工程师
前端工程师
算法工程师
PHP工程师
测试工程师
安全工程师
c#工程师
数据库工程师
大数据开发工程师
瓜子二手车
2019
评论
(29)
集合遍历
Java工程师
C++工程师
iOS工程师
安卓工程师
运维工程师
前端工程师
算法工程师
PHP工程师
测试工程师
深信服
评论
(38)
来自
深信服2019春招技术岗...
已知a
40
=...
京东
职能
2019
财务
保险
评论
(1)
《拳皇97》最后BOSS是谁?
游戏常识
评论
(1)
扫描二维码,关注牛客网
意见反馈
下载牛客APP,随时随地刷题