V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Sponsored by
LinkedIn
不坐班的神仙工作 · 去任何你想去的地方远程,赚一线城市的工资
2000 个不用出门 Social 的全球远程工作,帮助 V2EX 的小伙伴开启全新的工作方式。
Promoted by LinkedIn
Mavious
V2EX  ›  分享发现

哈哈哈,国考,下载文件的验证码是个假的

  •  
  •   Mavious · 2019-10-17 09:16:05 +08:00 · 6132 次点击
    这是一个创建于 1077 天前的主题,其中的信息可能已经有所发展或是发生改变。

    不发图了,点进去下载文件,需要写验证码,结果弹出的验证码是字体,不是做在图里的,干扰背景只是装饰。 bm.scs.gov.cn/pp/gkweb/core/web/ui/business/download/gkdownloads.html

    为什么发觉了呢?因为我做了 CSS 网页字体全局替换,英文字体是我很喜欢的,很特别,所以一眼发觉不同。关闭 css 替换,字体马上变了。

    嗯,装饰性的验证码。

    48 条回复    2020-01-10 15:28:07 +08:00
    silencefent
        1
    silencefent  
       2019-10-17 09:22:16 +08:00
    <input type="button" class="captcha_button" onclick="changeCaptcha()" value="45vw">
    Darkside
        2
    Darkside  
       2019-10-17 09:22:25 +08:00
    有种“此地无银三百两”的感觉
    droiz
        3
    droiz  
       2019-10-17 09:23:18 +08:00 via iPhone
    哈哈哈,做验证码的新思路啊
    Kusoku
        4
    Kusoku  
       2019-10-17 09:23:20 +08:00
    没啥用处,纯属多余
    luojianxhlxt
        5
    luojianxhlxt  
       2019-10-17 09:25:24 +08:00
    做做样子好识别不好么。。。
    你是没见过 nga 的验证码
    silencefent
        6
    silencefent  
       2019-10-17 09:25:26 +08:00
    其实怎么说嘛,这种 4 位 6 位的文字验证码 100 行的 CNN 算法就能训练出人工智能来解决了,似乎做成后端或者别的验证方式也没多大意义,索性放前台了
    shoujiaxin
        7
    shoujiaxin  
       2019-10-17 09:25:58 +08:00 via iPhone
    我们学校系统验证码也是这样,背景甚至连干扰都没有,直接就是个纯色块,然后每个字随机一个颜色,完全不知道意义何在
    Reficul
        8
    Reficul  
       2019-10-17 09:27:40 +08:00 via Android
    @silencefent 按你这么说还不如不加。。。。用户体验不好,想搞事情的也没障碍
    doco
        9
    doco  
       2019-10-17 09:53:22 +08:00
    @luojianxhlxt #5 NGA 验证码我觉得比 12306 的还恶心
    HolmLoh
        10
    HolmLoh  
       2019-10-17 10:00:34 +08:00   ❤️ 1
    估计是上级要求加,但是开发的偷懒了
    jasonyang9
        11
    jasonyang9  
       2019-10-17 10:17:34 +08:00
    再抓一个,明明是大白天,上面写着“2019 年 10 月 17 日 星期四 晚上好!”是什么鬼
    est
        12
    est  
       2019-10-17 10:32:39 +08:00
    领导说要验证码。于是就有了官僚主义验证码
    Raven316
        13
    Raven316  
       2019-10-17 10:34:24 +08:00
    @jasonyang9 #11 我这是上午好
    hyy1995
        14
    hyy1995  
       2019-10-17 10:51:41 +08:00
    有点秀。。。
    userdhf
        15
    userdhf  
       2019-10-17 10:53:25 +08:00
    就跟地铁安检一样,设置了的目的不是安检,而是为了限流...
    eason1874
        16
    eason1874  
       2019-10-17 11:00:21 +08:00
    这种操作感觉像防爬虫的,不过不知道有没有用
    eason1874
        17
    eason1874  
       2019-10-17 11:01:08 +08:00
    #16 补充:我说的是搜索引擎的通用爬虫,不是有针对性的恶意爬虫
    SimonOne
        18
    SimonOne  
       2019-10-17 11:11:51 +08:00
    @userdhf #15
    面向领导需求编程。
    领导:我就要这个效果
    lucifer9
        19
    lucifer9  
       2019-10-17 11:39:52 +08:00   ❤️ 1
    我见过验证码很正规
    但是后台给你随机返回对错...
    locoz
        20
    locoz  
       2019-10-17 11:55:56 +08:00
    @Reficul #8 加还是要加的,能挡住一大部分技术菜的就行了
    whwq2012
        21
    whwq2012  
       2019-10-17 12:00:16 +08:00 via Android
    江西高考查成绩的验证码也是假的。。
    akakidz
        22
    akakidz  
       2019-10-17 13:43:31 +08:00
    心理学带师
    Reficul
        23
    Reficul  
       2019-10-17 15:26:14 +08:00
    @locoz 这都看不出来,不是菜的问题了。。。
    asche910
        24
    asche910  
       2019-10-17 15:29:52 +08:00 via Android
    我改见过把验证码放在 value 字段里的网站
    zdnyp
        25
    zdnyp  
       2019-10-17 16:58:17 +08:00
    @locoz 换个思路,这样没有 http 请求,是不是如果有爬虫的话,就必须用 selenium...另外这种是怎么验证我输入的验证码是正确的呢?都没有通讯吧.
    locoz
        26
    locoz  
       2019-10-17 16:58:34 +08:00
    @Reficul #23 不...我不是说楼主说的这个落智验证码,我是说前面那位说的,正常的 4 位、6 位文字验证码:
    “其实怎么说嘛,这种 4 位 6 位的文字验证码 100 行的 CNN 算法就能训练出人工智能来解决了,似乎做成后端或者别的验证方式也没多大意义,索性放前台了”
    zdnyp
        27
    zdnyp  
       2019-10-17 17:01:34 +08:00
    emmmm...下载链接是直接放出来的...
    locoz
        28
    locoz  
       2019-10-17 17:09:43 +08:00
    @zdnyp #25 不啊,正常人看到楼主说的这种验证码,会直接发请求...因为...一抓包、搜索一下 url 后面的文件 id 就能看出是假验证码了
    locoz
        29
    locoz  
       2019-10-17 17:10:16 +08:00
    @zdnyp #27 原来已经发现了啊 hhhhhh
    Zheming
        30
    Zheming  
       2019-10-17 17:10:57 +08:00 via iPhone
    @luojianxhlxt 登陆半天眼睛疼
    b821025551b
        31
    b821025551b  
       2019-10-17 17:11:27 +08:00   ❤️ 1
    @asche910 #24 我见过更智障的,发送短信验证码,发完自动填写上
    zdnyp
        32
    zdnyp  
       2019-10-17 17:17:12 +08:00
    @locoz #29 后来看了一下才发现 hhh 验证输入的验证码是否正确,难道是前端判断输入的字符跟值是不是一样?
    walleL
        33
    walleL  
       2019-10-17 17:24:20 +08:00
    @b821025551b #31 那是你给了 APP 读短信的权限,自动填的验证码是短信里面读到的吧
    locoz
        34
    locoz  
       2019-10-17 17:26:02 +08:00
    @zdnyp #32 是的
    locoz
        35
    locoz  
       2019-10-17 17:27:04 +08:00   ❤️ 1
    @b821025551b #31 我见过某充电桩小程序用手机号登录,验证码接口直接返回验证码内容的,相当于可以随便登录任意一个人的账号...
    b821025551b
        36
    b821025551b  
       2019-10-17 17:32:15 +08:00
    @walleL #33 Windows 下,网页,也是很久前 V2 上看到的问题,标题是问用了什么黑科技,我抓了一下包头快笑掉了。。
    zdnyp
        37
    zdnyp  
       2019-10-17 17:43:56 +08:00
    @locoz 这也太秀了..
    littleshy
        38
    littleshy  
       2019-10-17 19:24:59 +08:00
    防君子不防小人呀。
    wispx
        39
    wispx  
       2019-10-17 19:56:33 +08:00
    <script>alert('缓存清除成功!')</script>
    jakezh
        40
    jakezh  
       2019-10-17 20:08:38 +08:00
    这个办法好 哈哈哈
    areless
        41
    areless  
       2019-10-17 20:28:21 +08:00 via Android
    这个的确是问题很大。验证码很有用的~~~只要扭曲字体加干扰,爬站只能获取验证码图片让人眼识别逐个输入了。别幻想人工智能~~~那种识别率学习 5 万次识别率 70%,学习 50 万次就变 50%的东西。深度学习只是为了生成程序的算法部分,用大量数据去取代数学算法~~~程序算法是无数数学程序爱好者的结果,而深度学习只是巫术而已。
    exip
        42
    exip  
       2019-10-17 22:06:09 +08:00 via Android
    还有那种直接把验证码内容写进 cookie 里的
    ysoserious
        43
    ysoserious  
       2019-10-17 22:09:46 +08:00
    @lucifer9 #19 一直觉得 v2 就是这样的
    imn1
        44
    imn1  
       2019-10-17 22:24:34 +08:00   ❤️ 1
    @est
    我一直觉得这种验证码是最佳验证码,是劳苦大众用来验证领导的
    vipcc
        45
    vipcc  
       2019-10-17 23:42:46 +08:00 via Android
    有时候,只是减少服务器压力
    醉翁之意不在酒
    lxk11153
        46
    lxk11153  
       2019-10-18 02:41:52 +08:00
    @silencefent
    @wispx 你们这两个 XSS 有点秀。
    zhihupron
        47
    zhihupron  
       2019-10-18 08:29:46 +08:00
    外包太可怕
    jfhy0901
        48
    jfhy0901  
       2020-01-10 15:28:07 +08:00
    2020 年了, 这个假的验证码依然在正常工作
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1344 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 51ms · UTC 18:36 · PVG 02:36 · LAX 11:36 · JFK 14:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.