验证码绕过
图像验证码识别
二值化
- 通俗来讲,二值化即把图片中不需要的信息通通去掉,例如背景、干扰线、干扰像素等,使图片最终变为二进制点阵。
- 通过对图片进行灰度化以后,把获取到的灰度图像进行二值化处理。对于二值化,其目的是将目标用户背景分类,为后续车道的识别做准备。灰度图像二值化最常用的方法是阈值法,他利用图像中目标与背景的差异,把图像分别设置为两个不同的级别,选取一个合适的阈值,以确定某像素是目标还是背景,从而获得二值化的图像。
字符分割法
用最基本的扫描线法由左向右,在没有遇到任何一个文字像素的情况下会往右一个进行扫描,若有文字像素则进行坐标的记录。
常见的图片验证码漏洞
- 首次输入无需验证码,错误输入后弹出验证码。这个时候可以抓包分析第一次登陆的数据包,从而对用户的登陆进行爆破。
- 客户端生成验证码,由客户端JS生成,并且仅仅在客户端用JS验证。
- 验证码直接输出。
短信验证码漏洞
- 验证码只有4位纯数字,可以直接爆破。若是6位且半小时没无限制提交也可操作。
- 验证码不过期。
- 验证码可以为空
- 验证码在cookie中直接返回