注意:仅用于本人学习的笔记记录,禁止进行传播分享,一旦造成严重后果与本人无关!!!
验证码:全自动区分计算机和人类的图灵测试
某些验证码它不再是区分人类还是计算机
有一类验证码是证明身份 - 短信验证码、邮箱验证码
验证码:4数字、6数字[6位以上、有字母的]
4位数字 => 穷举、爆破
1、验证码会返回客户端
返回包里面带有验证码
2、业务流程缺陷
找回密码(1、校验部分 2、修改部分)
发验证码 -> 校验页面 -> 修改页面
发验证码 -> 修改页面(cookie就和账号绑定)
3、验证码无时间间隔
4、验证码可爆破
跑验证码 4位6位验证码
防御方法:提交过一次验证码错误后,要求必须重新发送验证码、验证码就变
5、验证码客户端来生成
发送验证码为什么要写检测是人还是脚本的验证码
1、要省钱,厂商要给钱
2、防止坏人用的的短信接口恶意轰炸
传参加密了怎么办:
1.JS加密的(前端) 网站
2.后端加密(数据包)
3.之前数据包隐藏域的返回
4.强行猜(md5\base64\url)
5.找规律