绕过session验证码实现批量登录注册

Posted 2020-09-26

验证码的分类:

目前市面上验证码的主要分为两大类:session验证码、cookie验证码。

今天主要讲Session验证码。Session验证码顾名思义就是跟会话有关系，当客户端每次访问登录或者注册页面的时候，会执行一次验证码生成的操作，然后把生成的验证码保存到session的某个参数中（比如我们保存到名称为“VerificationCode”），在用户执行登录或者注册的时候，就会去session中去取VerificationCode这个参数的值，与其进行对比，如果一样，则能成功通过，然后继续执行登录成功或者注册的操作。在输入验证码完成之后，就没有再次执行重新刷新验证码的操作，只有客户端没有关闭，session中就一直保存有最后一次生成的验证码的信息，所以我们只要客户端不关闭，就可以用一个验证码码来登录或者注册多个账号。

我们要如何来绕过session验证码验证？

前面说的也许你有些不理解，也许你会问，什么是只有客户端不关闭？我都登录了，都发生跳转了，那还能怎么办？这个问题简单，既然我们都想要绕过了验证码了，那我们的需求肯定是想批量登录或者是批量注册了，那我们肯定得是自己写一个登录或者注册的客户端了，那跳转不跳转还不是我们控制，一个账号一个线程来登录，那客户端还不是我们之前的客户端，那么session还不是一样，那验证码当然也还是一样的了。关于写客户端的抓包等问题，我想必大家都会了，不会的同志可以到我博客去找抓包分析的教程来看看。

关于绕过验证码，我们来写个例子测试（例子我用的 易语言，考虑到很多人没学java或者c++之类的，当然大家可以用java，c++等来做，思路都一样）。我们来做个 不倒翁OL（赌博网站，劝学习技术，远离赌博）的批量注册和批量登录的工具。

 

 

首先，我们来绘制界面，如图

 

 

 

 

执行登录（账户cikelm和opt222都用同一个验证码68MK）

 

 

两次登录的验证码都是68MK，都能登录成功 （注册就不演示了，一样的可以）

所以我们只要自己写一个客户端，然后一个验证码就可以多账户登录或者批量注册了。