码迷,mamicode.com
首页 > 移动开发 > 详细

Atitit. 破解  拦截 绕过 网站 手机 短信 验证码  方式 v2 attilax 总结

时间:2016-12-25 02:11:29      阅读:296      评论:0      收藏:0      [点我收藏+]

标签:传输   破坏   应用服务   常用   sdn   随机数   应用   保存   短信   

 

Atitit. 破解  拦截 绕过 网站 手机 短信 验证码  方式 v2 attilax 总结






1. 验证码的前世今生1
1.1. 第一代验证码 图片验证码1
1.2. 第二代验证码  用户操作 ,比如要求拖动等2
1.3. 第三代验证码 手机验证码 短信验证码2
2. 短信验证码的原理2
3. 常用破解法2
3.1. 漏洞绕过法2
3.2. 手机 软件转发法2
3.3. 手机api法3
3.4. 默认万能密码法 测试维护万能验证码3
3.5. 网站服务器短信发出截获3
3.6. 配置文件法3
3.7. 前端源码截获3
3.8. Cookie截获3
3.9. Session截获3
3.10. 上行接口法3
3.11. 解密法与彩虹表3
3.12. 随机数破解法3
3.13. 智能定制手机4
3.14. 定制芯片法、烧号法4
3.15. 路由拦截4
3.16. 大数据破解法4
3.17. 基站设备拦截法、短信拦截器:4
3.18. 应用端的短信服务器4
3.19. 同城短信中心服务器4
3.20. 光纤截获4
4. 参考4




1.验证码的前世今生
1.1.第一代验证码 图片验证码
现在这个验证码以及破解的不成样子了,安全性很低了。
1.2.第二代验证码  用户操作 ,比如要求拖动等
此类验证码也破解的差不多了
1.3.第三代验证码 手机验证码 短信验证码
短信验证码的破解正在蓬勃发展。。并不是那么的100%的成熟可靠。。


2.短信验证码的原理
网站一般使用一个伪随机数发生器,生成一个伪随机数,然后存入session或者cookie,或者文件,或者数据库等地方,然后传输到短信服务器,短信服务器首先连接到最近的基站,然后把内容传入基站,基站把内容传输到同城的短信服务中心服务器器,然后如果是异地的手机号,则通过光缆或者远程有线线缆,把验证码传输到异地城市的短信服务中心服务器器,短信中心服务器查找用户最近的基站,把信息传输到基站,基站在转发给用户手机。。


用户的手机则不停的轮询,与基站保持联系。一旦受到最近基站法过来的短信,则可以输入应用。。应用会通过路由器,把验证码回传到服务器,服务器根据保存的验证码,进行对比。。


如果是手机app里面的验证码验证,则验证码回传,会首先传道最近的基站,然后基站吧验证码回传道本地城市的短信服务中心服务器。。然后通过光缆等有线通讯传输到客户端的短信服务器,短信服务器接受到短信后,转发给应用服务器。。


3.常用破解法
3.1.漏洞绕过法
需要扫描网站或者软件漏洞,利用即可。


3.2.手机 软件转发法
需要在手机安装短信自动转发


3.3.手机api法
这个方法的缺点是 需要手机在旁边,手机都有pc连接的api接口,本来是为了方便测试维护的,无需安装任何软件。通过这个接口可以获取到手机接收到的所有短信


3.4.默认万能密码法 测试维护万能验证码
为了方便测试以及维护,一般会有万能验证码,我们的目标就是找到这个万能的验证码。。
注意,万能的验证码可能一段时候后会改变


3.5.网站服务器短信发出截获


3.6.配置文件法
有些程序会把万能密码等敏感信息放在配置文件里面,扫描找到配置文件即可拿到敏感信息


3.7.前端源码截获
就像图片验证码时代,有些程序会把验证码疏忽或者安全意识不够放入前端源码方便校验。从而导致我们绕过验证码机制


3.8.Cookie截获
3.9.Session截获
3.10.上行接口法
输入验证码手机的时候,填入自己的特制设备号码或api接口号码


3.11.解密法与彩虹表
适合于那些加密的验证码同时有传输到客户端的情况下。。
3.12.随机数破解法
网站发出的短信验证码都是来源于随机数,而且都是伪随机数,这就意味着可以破解了。。
3.13.智能定制手机
3.14.定制芯片法、烧号法






3.15.路由拦截
在网站与短信接口直接路由拦截
3.16.大数据破解法
需要多级一起破解,很快破掉。需要机器性能强劲切服务端无限制 


3.17.基站设备拦截法、短信拦截器:
效果超好。几乎100%,唯一的问题是要找到短信发出端的位置。。或者手机端的位置即可。


无需手机在旁边
3.18.应用端的短信服务器
3.19.同城短信中心服务器
3.20.光纤截获
4.参考


atitit.破解 拦截 绕过 网站 手机 短信 验证码 之自动获取手机短信方式 attilax 总结 - attilax的专栏 - 博客频道 - CSDN.NET.htm






作者:: 绰号:老哇的爪子claw of Eagle 偶像破坏者Iconoclast image-smasher
捕鸟王"Bird Catcher 王中之王King of Kings 虔诚者Pious 宗教信仰捍卫者 Defender Of the Faith. 卡拉卡拉红斗篷 Caracalla red cloak
简称:: Emir Attilax Akbar 埃米尔 阿提拉克斯 阿克巴
全名::Emir Attilax Akbar bin Mahmud bin  attila bin Solomon bin adam Al Rapanui 埃米尔 阿提拉克斯 阿克巴 本 马哈茂德 本 阿提拉 本 所罗门 本亚当  阿尔 拉帕努伊
常用名:艾提拉(艾龙),  EMAIL:1466519819@qq.com




头衔:uke总部o2o负责人,全球网格化项目创始人,
uke宗教与文化融合事务部部长, uke宗教改革委员会副主席
,Uke部落首席大酋长,
uke制度与重大会议委员会委员长,uke保安部首席大队长,uke制度检查委员会副会长,
奶牛科技cto ,uke 首席cto 
uke波利尼西亚区大区连锁负责人,克尔格伦群岛区连锁负责人,莱恩群岛区连锁负责人,uke汤加王国区域负责人。布维岛和南乔治亚和南桑威奇群岛大区连锁负责人 
 Uke软件标准化协会理事长理事长 uke终身教育学校副校长 
Uke 数据库与存储标准化协会副会长 uke出版社编辑总编
Uke医院方面的创始人


转载请注明来源:attilax的专栏  ?http://www.cnblogs.com/attilax/
--Atiend

Atitit. 破解  拦截 绕过 网站 手机 短信 验证码  方式 v2 attilax 总结

标签:传输   破坏   应用服务   常用   sdn   随机数   应用   保存   短信   

原文地址:http://www.cnblogs.com/attilax/p/6218870.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!