| 1:验证码地址是死的比如:http://user.qjy168.com/new_passpic.php?f=register 每次刷新都是这个验证码,所以验证码地址唯一 2:http://icode.renren.com/getcode.do?t=zhan_reg&rnd=Math.random() 验证码随机的,服务器也无法控制。切换验证码地址不唯一,结果唯一。 有个随机值,服务器也无法判断下次验证码具体地址。所以该地址有效 3:https://mail.sina.com.cn/cgi-bin/imgcode.php?t={登录前参数3} 登录前参数获取,切换验证码地址也是唯一的,结果唯一。 4:http://www.pcwaishe.cn/plugin.php?id=cloudcaptcha:get&rand=VzRQr1AQ86&modid=member::logging&refresh=0 rand=VzRQr1AQ86 服务器可以控制, rand=VzRQr1AQ86 这个事DZ3.1的,通过Js加密,服务器知道下一次的验证码地址,我们无法知道,所以无法登陆。 营销神器其实第一次访问验证码,应该就想到与刷新一次,所以只要验证码地址正确,提交出去就肯定对。 php判断验证码正确的原理是: php应该是seesion开启,获取一个结果,通过这个结果,生成一个验证码,然后提交表单是确定验证码是否正确。切换验证码地址唯一,结果应该唯一。所以,刷新一下,这个过程又一次执行一次。 那么什么样的验证码能通过: 第一:验证码地址唯一 第二:验证码随机的,比如某个参数是随机5位数。服务器也是随机生成个验证码 什么验证码神器过不了? 验证码地址是随机的,而且是有规律的,这个规律不是随机值,而是可以精准控制的,必须是符合控制规律才行,比如 http://icode.renren.com/getcode.do?t=zhan_reg&rnd=Math.random() 这个 这个规律不是随机值,而是可以精准控制的,必须是符合控制规律才行,比如 http://icode.renren.com/getcode.do?t=zhan_reg&rnd=Math.random() 这个 Maht.random()生成一个随机数,Math.random() 代表0到1的数据,所以这个验证可以写http://icode.renren.com/getcode.do?t=zhan_reg&rnd=0.2 这样作为验证码是可以提交成功的,符合规律。 从以上我们可以总结出,只要符合规律的,验证码唯一,本身这个URL就符合规律,都是可以成功的,而且我们第一次抓包获得的验证码,如果符合这个规律,无论是什么,我们都可以当验证码提交成功。 过不了的验证码: 说明抓包的验证码是特殊规律的,不符合规则。  这种验证码是,每次打开生成一个随机加密字符串,根据这个字符串生成一个验证码地址。 神器可以获取到这个随机加密字符串,却生成不了地址,所以不会成功过。 总结:验证码基本是第一次获取的就可以提交,如果提交不成功,看看验证码地址是不是附加随机参数,如果没有说明JS加密 ,通过不了,以上是个人经验,请大牛轻拍。。。。 |
抢沙发||关于我们|手机版|营销神器 (蜀ICP备14013818号)
GMT+8, 2024-12-22 18:15
