谁能破了我的验证码?

wartskcaj 发布于 2011/10/14 17:41
阅读 1K+
收藏 0

不考虑OCR技术,服务器被入侵,加密算法被破解这三种情况,

我把验证码加密后存放到Cookie中,谁有什么办法可以破解掉?

 

加载中
0
此人已死,有事烧纸
此人已死,有事烧纸

有办法的,

每次生成新的cookie,就用软件替换到原来的旧的,这样,在回传读取的时候尽管网页上显示的是新生成的验证码,但内部处理的那个加密码是之前旧的验证码,这样就可以破解掉了

不知道你是否明白我的意思啊

此人已死,有事烧纸
此人已死,有事烧纸
@jackstraw : 数据库 或者 使用memcache 我用php的
wartskcaj
wartskcaj
@jackstraw : 放缓存了
wartskcaj
wartskcaj
那如果不用session,我该把验证码放哪儿呢?
此人已死,有事烧纸
此人已死,有事烧纸
破解流程 1.访问以下你的页面,获得一个cookie文件,同时记录下要输入的注册码 2.第二次访问,将生成的新的cookie用旧的替换掉 3.输入旧的注册码, 能不能这样做??
0
sxgkwei
sxgkwei
“加密算法被破解”是不能考虑的情况。你又“把验证码加密后存放到Cookie中”,不用讨论技术,就语言逻辑上,都是不成立的。 "谁有什么办法可以破解掉?"
三毛々
三毛々
在服务器端不校验验证码。当然可以可以避开你的验证。
wartskcaj
wartskcaj
我在网上看到有人说可以用软件跳过浏览器什么的,想不通就算再跳也避免不了被验证的命运啊
0
ddatsh
ddatsh
穷举?
wartskcaj
wartskcaj
@dd : 登录,注册等等······
骠骑将军
骠骑将军
穷举不行吧,验证错误会重新生成的啊
wartskcaj
wartskcaj
@sxgkwei : 当然不用js验证,肯定是在服务器端验证,并且同一个验证码在不同时间内密文也是不同的
sxgkwei
sxgkwei
@jackstraw : 这就简单了,看你的验证码有几位,都用的哪些字符,比如全部数字,就也用数字穷举,你有英文也就加入英文。不过网页的东西,至于这么费事么。不过如果你的验证码只保存在cookie中,而是用JS做的验证,没有在后台服务器端代码中验证输入的验证码有效性的话,的确可以直接跳过你的页面,直接调你的服务器的。
wartskcaj
wartskcaj
@dd : 不用ocr,怎么知道哪个验证码对应哪个密文,用人眼那不累死了?
下一页
0
idea_biu
idea_biu
标题党啊
wartskcaj
wartskcaj
嘿嘿,也不算是啊
0
逝水fox
逝水fox
只要认出你验证码图片上的文字就可以了,哪用管你得Cookie哦
wartskcaj
wartskcaj
那是
0
一剑倾城
一剑倾城
不考虑那3点,程序上没漏洞,技术上可行。不过cookie有长度和数量限制吧。超过最大长度,会被截掉,超过浏览器的数量会被踢掉。
0
罪恶的花生
罪恶的花生

不想破解,中文,最好多几种手写体的字体,然后图片上加上波纹线~

0
岛
不考虑动手  看谁打的死我
0
hylent
hylent
用眼神,秒杀你!
0
hylent
hylent
一般是异步验证,然后提交之后再验证。放cookie里本身就是不安全的。
返回顶部
顶部