17
回答
谁能破了我的验证码?
科大讯飞通用文字识别100000次/天免费使用。立即申请   

不考虑OCR技术,服务器被入侵,加密算法被破解这三种情况,

我把验证码加密后存放到Cookie中,谁有什么办法可以破解掉?

 

举报
wartskcaj
发帖于7年前 17回/1K+阅
共有17个答案 最后回答: 2年前

有办法的,

每次生成新的cookie,就用软件替换到原来的旧的,这样,在回传读取的时候尽管网页上显示的是新生成的验证码,但内部处理的那个加密码是之前旧的验证码,这样就可以破解掉了

不知道你是否明白我的意思啊

--- 共有 4 条评论 ---
此人已死,有事烧纸@jackstraw : 数据库 或者 使用memcache 我用php的 7年前 回复
wartskcaj@jackstraw : 放缓存了 7年前 回复
wartskcaj那如果不用session,我该把验证码放哪儿呢? 7年前 回复
此人已死,有事烧纸破解流程 1.访问以下你的页面,获得一个cookie文件,同时记录下要输入的注册码 2.第二次访问,将生成的新的cookie用旧的替换掉 3.输入旧的注册码, 能不能这样做?? 7年前 回复
“加密算法被破解”是不能考虑的情况。你又“把验证码加密后存放到Cookie中”,不用讨论技术,就语言逻辑上,都是不成立的。 "谁有什么办法可以破解掉?"
--- 共有 2 条评论 ---
三毛々在服务器端不校验验证码。当然可以可以避开你的验证。 7年前 回复
wartskcaj我在网上看到有人说可以用软件跳过浏览器什么的,想不通就算再跳也避免不了被验证的命运啊 7年前 回复
穷举?
--- 共有 7 条评论 ---
wartskcaj@dd : 登录,注册等等······ 7年前 回复
骠骑将军穷举不行吧,验证错误会重新生成的啊 7年前 回复
wartskcaj@sxgkwei : 当然不用js验证,肯定是在服务器端验证,并且同一个验证码在不同时间内密文也是不同的 7年前 回复
sxgkwei@jackstraw : 这就简单了,看你的验证码有几位,都用的哪些字符,比如全部数字,就也用数字穷举,你有英文也就加入英文。不过网页的东西,至于这么费事么。不过如果你的验证码只保存在cookie中,而是用JS做的验证,没有在后台服务器端代码中验证输入的验证码有效性的话,的确可以直接跳过你的页面,直接调你的服务器的。 7年前 回复
wartskcaj@dd : 不用ocr,怎么知道哪个验证码对应哪个密文,用人眼那不累死了? 7年前 回复
不考虑那3点,程序上没漏洞,技术上可行。不过cookie有长度和数量限制吧。超过最大长度,会被截掉,超过浏览器的数量会被踢掉。
顶部