1.Python OpenCV 过点击式和滑动式形验证码的手机校验
2.渗透测试-----验证码篇
Python OpenCV 过点击式和滑动式形验证码的校验
在近期进行App抓包的过程中,我发现该App在特定时间会弹出验证码。验证源码完成验证后,码源码手系统会提供token,机验此token是证码发起正常请求所必需的。
文章源码地址:github.com/ThinkerWen/C...
以下是手机admineap源码文件下载验证码的截图:
弹出验证码的Response如下:
完成验证码的Request如下:
通过观察,我发现只需将验证码的验证源码点击坐标发送至完成验证码的接口,即可获取到token。码源码手因此,机验现在的证码目标是提取坐标。
观察发现,手机这个验证码相对简单,验证源码因为它没有图案扭曲,码源码手网站安装界面源码所以通过率较高。机验同时,证码我也回忆起之前解决滑动验证码的方法(一并展示)。
要通过验证码,首先需要将目标图案在背景上定位,找到其像素点。为此,我使用了Python的OpenCV库进行识别。
1.提取:首先,我发现目标都是黑色图案,背景为透明。当我使用cv2.imread(front_image)加载时,网站源码 黄页通讯显示一片漆黑。即使后来我使用了保留透明通道的加载方式,结果依旧。
为了解决这个问题,我决定剥离透明通道,将目标图案透明色设置为白色,这样目标图案就自然显现了。
2.找到目标图的位置:接着,我将目标的三个图案分割出来,分别找出它们的像素位置。由于图案排列位置固定,我直接记录坐标进行像素分割。文件共享php源码
分割后,我将目标图和背景图都转化为灰度,以防止颜色干扰。
然后进行最佳匹配。然而,匹配结果并不理想,无法准确找到所有三个目标图案,因此需要进一步优化。
3.优化匹配方案:继续观察后,我发现背景中的目标图案总是白色的,因此我决定保留背景上的白色部分,其余部分转为黑色。csharp源码转java
为了尽可能保留完整的图案,我经过多次尝试,发现-区间的RGB颜色可以保留大部分目标图案的白色。
同时,我将黑色的目标图案反转为白色。
由于需要获取的是点击坐标,我将左上角坐标(x1,y1)进行+的偏移,以移动到图案本身上面。
经过验证,现在的识别方法可以正常通过点击验证码。
滑动验证码的解决方案与点击验证码类似,甚至现在常见的一种滑动验证码已经有了通用的代码。
看雪ID:暮至夜寒
看雪-安全社区|安全招聘|kanxue.com
本文为看雪论坛精华文章,由暮至夜寒原创,转载请注明来自看雪社区
阅读原文:
渗透测试-----验证码篇
验证码,全称为全自动区分计算机和人类的图灵测试,是网站常用的安全机制,旨在区分真实用户与恶意程序。早期,验证码设计简单,但随着人工智能的进步,机器破解难度增加,如等网站的复杂图形验证。验证码的原理是客户端请求时,服务端生成随机验证码并附带Session ID,用户提交后,服务端验证无误后销毁Session。验证码识别不仅依赖于文字或图案,还会结合操作行为、设备指纹等多维度信息,不断升级模型,提高破解成本。
然而,验证码的使用并非无懈可击。如果设计不当,如过于简单的问题,易被机器绕过;短信验证码除了防止批量操作,但操作繁琐可能导致用户体验下降,且存在被滥用的风险;验证码与手机号一一对应的重要性不容忽视,否则可能导致不同用户间的混淆。验证码的复用和隐藏在源码、Cookie或客户端中,都可能成为攻击者突破点。一些常见的绕过方式包括直接删除验证码、使用工具识别、利用固定值或无验证码验证等。
随着安全意识的提升,验证码技术也在不断发展,出现了更加复杂的图形验证码和深度学习技术,但仍存在易被破解的弱验证码。一些工具如PKav HTTP Fuzzer,提供了抓包、标记变体、设置重放模式等功能,帮助渗透测试人员进行安全测试,包括识别验证码、设置匹配规则和条件丢弃等策略。总之,验证码在保护网站安全的同时,也需要不断更新策略,以应对不断升级的破解技术。
2024-11-23 12:34
2024-11-23 11:38
2024-11-23 11:38
2024-11-23 11:26
2024-11-23 10:51
2024-11-23 10:46
2024-11-23 10:22
2024-11-23 10:07