验证码分类
-
GIF动态验证码
-
手机短信验证码
-
手机语音验证码
-
视频验证码
-
原理:
1、验证码在本地验证;关闭本地的js验证;利用BP关闭JS
2、验证码输出到客户端:输出到html代码中
3、验证码输出到cookie中:开始时不需要输入验证码,输入几次错误之后会有验证码的输入,此时会在cookie中设置参数,来进行记录输入错误的次数,可以将该参数删除或固定,来进行爆破
4、服务端:
1)验证码不过期;
2)未进行非空判断:删除cookie中的对验证码的传参部分
3)验证码的库有限
5、验证码太简单,容易被机器识别
6、爆破验证码
修复方式
- 强制要求输入验证码,注意不要被xff绕过
- 验证码只能有一次,用完立即过期
- 验证码不要设置太弱
- 大站统一验证码接口