验证码可以防恶意破解密码、刷票、论坛灌水等等
验证码绕过:
1、脚本识别
2、逻辑绕过
一、前端验证码,后端没有验证
二、验证码设置没有校验,乱输也能成功
三、验证码可重复使用
四、验证码空值绕过。抓包删除验证码传参
五、验证码干扰过低,轻松使用脚本识别
六、验证码不是图片,在HTML页面输出
七、验证码可控,比如在URL中
八、验证码有规则,比如时间戳后6位
九、有万能验证码,比如输入000000就能直接绕过
十、验证码藏在Cookie中
十一、图片验证码,类型太少,容易识别
密码找回
一、验证码发送后前端返回
二、验证码无次数限制可爆破
三、验证码可控
四、爆破后直接修改验证码页面
五、越权 自己的验证码改包修改别人的密码