Web安全Day12 - 验证码漏洞实战攻防

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！1. 验证码漏洞概述1.1 验证码概述验证码（CAPTCHA）是“Completely Automated Public Turing test to tell Computers and Humans Apart”（全自动区分计算机和人类的图灵测试）的缩写，是一种区分用户是计算机还是人的公共全自动程序。可以防止：恶意破解?密码、刷票、论坛灌水。由于计算机无法解答CAPTCHA的问题，所以回答出问题的用户就可以被认为是人类。1.1.1 验证码作用有效防止攻击者对某一场景使用暴力方式进行不断的攻击尝试。验证码主要是运用于登录，注册，评论发帖及业务安全防刷等场景。1.1.2 验证码分类1.1.2.1 图片验证码通过在图片上随机产生数字、英文字母、汉字或者问题，一般有四位或者六位验证码字符。 ………………………………