首页 > 试题广场 >

请尽可能列举你知道的网站未能正确使用图片验证码机制的情况,以

[问答题]

请尽可能列举你知道的网站未能正确使用图片验证码机制的情况,以及如何绕过其限制?

查看答案及解析
添加回答
牛客211924279号头像 牛客211924279号
1、有的网站验证码由本地js生成仅仅在本地用js验证。可以在本地禁用js,用burp把验证字段删除。
2、有的网站把验证码输出到客户端html中,送到客户端Cookie或response headers。
3、有些网站默认不显示验证码,而是在输入错误一定数量之后才需要验证验证码,开发人员可能在Cookie中写入一个标记loginErr,用来记录错误数量,则可以不更新Cookie中的loginErr值反复提交,验证码就不会出现。
发表于 2020-05-27 11:34:52 回复(0)
fallingskies22头像 fallingskies22
1.验证码逻辑在前端代码中。通过分析逻辑计算出验证码。
2.验证码整齐且易识别。利用OCR自动识别验证码,利用卷积神经网络训练识别模型。
3. 验证码位数低,存在爆破可能。
4. 验证码存活时间过长,在识别一次后可持续利用。

发表于 2021-03-08 16:45:33 回复(0)
junknet头像 junknet
客户端:
1.验证码直接暴露在html
2.验证逻辑在客户端浏览器中
3.验证码的生成逻辑在前端,可逆向逻辑
4.验证码生成逻辑在后端,但是与前端某些值绑定,大量收集数据后可能分析出生成逻辑
5.图片很简单,ocr识别
6.存在爆破的可能,例如2位数字的验证码
7.指纹识别出后端语言,猜解出其验证码生存库;可本地搭建生成,ocr自己训练出识别模型

服务端:
1.验证码的存活期很长
2.验证码不验证错误后,不立即销毁
3.验证码生存受到前端参数的影响
4.验证码验证频率太高可导致本地资源耗尽,例如生存图片尺寸受到前端参数影响
5.直接验证用户名和密码,优先于验证码验证
6.跨用户,验证码复用

发表于 2020-08-20 01:29:46 回复(0)
羌梧头像 羌梧
1.多数网站使用验证码的数量有限,包括验证码的组合方式,滑动的像素数都是不变的,如果不定时进行更新会导致攻击人员通多多次尝试来进行暴力破解。
2.某企业官网后台登录方式是单纯数字或者是一位英文+三位数字的方式的图片验证码,这会导致暴力破解变得容易。
3.在研发人员进行图片展示时会在后台附上图片编号,甚至是图片的路径,这可能直接导致可执行代码的漏洞,通过sql注入的方式来拿到数据库的权限。
发表于 2021-12-08 13:54:19 回复(0)
阿杨加油头像 阿杨加油
客户端 

1.验证码在前端使用JavaScript生成和认证,不经过服务端 
2.验证码可以直接在返回包、html源码或者JavaScript源码中可以直接查看
 3.验证码过于简单,可以直接使用类似验证码识别工具去进行爆破和绕过

 服务端

 1.服务端没有对验证码参数进行非空判断(删除验证码参数值或者全部删除) 
2.开发人员为了方便测试和开发,忘记删除简单的验证码(比如:1234、6666、8888)
 3.输入验证码点击登录抓包之后,如果页面不刷新或者说验证码不刷新,该验证码可以一直使用
编辑于 2020-08-17 09:22:35 回复(0)
一命赌快乐头像 一命赌快乐
客户端
1.在本地作验证码验证,可以通过burpsuite进行截取,修改后发出。
2.错误次数超过后才会显示验证码,可以选择不更新cookie中的logerror等字段避免出现
3.有的网站把验证码输出到客户端html中,送到客户端Cookie或response headers。

服务端
1.验证码不过期,没有及时销毁会话导致同一验证码反复可用。
2.没有对验证码进行非空判断

绕过:
1.关闭js,看看验证码是否还生成
2.审查元素,看看能不能直接打开验证码网址
3.查看源代码,是不是存在验证码
4.抓包,查看cookie,看看是不是直接存在
5.验证码爆破
发表于 2020-06-27 17:41:33 回复(0)
提交观点

问题信息

深信服 安全工程师
上传者:小小
难度:
6条回答 3115浏览

热门推荐

相关试题

扫一扫,把题目装进口袋

求职之前,先上牛客

扫描二维码,进入QQ群

扫描二维码,关注牛客公众号