时下图形验证码的应用已经非常广泛了,无论是在web应用还是客户端软件中。主要是用来防止字典攻击(或称暴力猜解)、机器注册等
本篇文章主要讲解验证码实现机制与安全策略突破
0x01 原理分析
1.客户端发起一个请求;
2.服务端响应并创建一个新的SessionID同时生成一个随机验证码;
3.服务端将验证码和SessionID一并返回给客户端;
4.客户端提交验证码连同SessionID给服务端;
5.服务端验证验证码同时销毁当前Session中的验证码,返回给客户端结果。
0x02 代码实现
这里用了网上的一个例子
login.html
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>无标题文档</title>
</head>
<body>
<form method="post" action="./check.php">
<p>验证码: <img id="captcha_img" border='1' src='./image.php?r=echo rand(); ?>' style="width:100px; height:30px" />
<a onclick="document.getElementById('captcha_img')