标签:参数 bsp idt 自己 技术分享 今天 strong 分类 刷新
验证码的分类:
目前市面上验证码的主要分为两大类:session验证码、cookie验证码。
今天主要讲Session验证码。Session验证码顾名思义就是跟会话有关系,当客户端每次访问登录或者注册页面的时候,会执行一次验证码生成的操作,然后把生成的验证码保存到session的某个参数中(比如我们保存到名称为“VerificationCode”),在用户执行登录或者注册的时候,就会去session中去取VerificationCode这个参数的值,与其进行对比,如果一样,则能成功通过,然后继续执行登录成功或者注册的操作。在输入验证码完成之后,就没有再次执行重新刷新验证码的操作,只有客户端没有关闭,session中就一直保存有最后一次生成的验证码的信息,所以我们只要客户端不关闭,就可以用一个验证码码来登录或者注册多个账号。
我们要如何来绕过session验证码验证?
前面说的也许你有些不理解,也许你会问,什么是只有客户端不关闭?我都登录了,都发生跳转了,那还能怎么办?这个问题简单,既然我们都想要绕过了验证码了,那我们的需求肯定是想批量登录或者是批量注册了,那我们肯定得是自己写一个登录或者注册的客户端了,那跳转不跳转还不是我们控制,一个账号一个线程来登录,那客户端还不是我们之前的客户端,那么session还不是一样,那验证码当然也还是一样的了。关于写客户端的抓包等问题,我想必大家都会了,不会的同志可以到我博客去找抓包分析的教程来看看。
关于绕过验证码,我们来写个例子测试(例子我用的 易语言,考虑到很多人没学java或者c++之类的,当然大家可以用java,c++等来做,思路都一样)。我们来做个 不倒翁OL(赌博网站,劝学习技术,远离赌博)的批量注册和批量登录的工具。
首先,我们来绘制界面,如图
执行登录(账户cikelm和opt222都用同一个验证码68MK)
两次登录的验证码都是68MK,都能登录成功 (注册就不演示了,一样的可以)
所以我们只要自己写一个客户端,然后一个验证码就可以多账户登录或者批量注册了。
标签:参数 bsp idt 自己 技术分享 今天 strong 分类 刷新
原文地址:http://www.cnblogs.com/jcm1024/p/7103618.html
