1.jmeter中借助OCR实现验证码的源码验证识别
2.渗透测试-----验证码篇
3.Python OpenCV 过点击式和滑动式图形验证码的校验
jmeter中借助OCR实现验证码的识别
在JMeter进行接口测试时,验证码处理是码识一个常见的挑战。虽然手动测试时,源码验证直接绕过或请求开发设置简单验证码是码识常见做法,但这并不适用于自动化测试。源码验证本文将介绍一种利用OCR技术在JMeter中识别验证码的码识源码修改加啥方法,但请注意,源码验证对于背景复杂干扰的码识,识别率可能不高,源码验证适合纯色底纹的码识情况。
首先,源码验证通过JMeter模拟登录接口,码识获取验证码。源码验证启动JMeter,码识创建线程组并配置HTTP和Debug采样器。源码验证启用监听器,将验证码保存为1.png文件。偷取网页源码
接着,使用Java编写脚本,将转换为Base格式,这包括导入sun.misc.BASEDecoder.jar包,创建包和文件,编写ToImage类,并导出为jar包。在Beanshell处理器中,导入此jar包并调用其方法处理验证码。
对于验证码识别,推荐使用开源的jmeter-captcha插件,从Gitee下载jar包或源码进行二次开发。在JMeter的测试计划中,添加后置处理器,如Beanshell,配置OCR插件参数。台湾系统源码简单验证码如纯数字、字母或汉字的识别率较高。
尽管基础识别率可能有待提高,但通过优化OCR处理代码,可以提升识别效果。后续将分享干扰优化的技巧和深度学习方法,以进一步提升识别准确率。
本文提供了一个基础的验证码识别框架,欢迎您持续关注并分享给有需要的朋友。
渗透测试-----验证码篇
验证码,全称为全自动区分计算机和人类的图灵测试,是网站常用的安全机制,旨在区分真实用户与恶意程序。早期,验证码设计简单,但随着人工智能的荔枝相册源码进步,机器破解难度增加,如等网站的复杂图形验证。验证码的原理是客户端请求时,服务端生成随机验证码并附带Session ID,用户提交后,服务端验证无误后销毁Session。验证码识别不仅依赖于文字或图案,还会结合操作行为、设备指纹等多维度信息,不断升级模型,提高破解成本。
然而,验证码的使用并非无懈可击。如果设计不当,如过于简单的问题,易被机器绕过;短信验证码除了防止批量操作,调用测试源码但操作繁琐可能导致用户体验下降,且存在被滥用的风险;验证码与手机号一一对应的重要性不容忽视,否则可能导致不同用户间的混淆。验证码的复用和隐藏在源码、Cookie或客户端中,都可能成为攻击者突破点。一些常见的绕过方式包括直接删除验证码、使用工具识别、利用固定值或无验证码验证等。
随着安全意识的提升,验证码技术也在不断发展,出现了更加复杂的图形验证码和深度学习技术,但仍存在易被破解的弱验证码。一些工具如PKav HTTP Fuzzer,提供了抓包、标记变体、设置重放模式等功能,帮助渗透测试人员进行安全测试,包括识别验证码、设置匹配规则和条件丢弃等策略。总之,验证码在保护网站安全的同时,也需要不断更新策略,以应对不断升级的破解技术。
Python OpenCV 过点击式和滑动式图形验证码的校验
在近期进行App抓包的过程中,我发现该App在特定时间会弹出验证码。完成验证后,系统会提供token,此token是发起正常请求所必需的。
文章源码地址:github.com/ThinkerWen/C...
以下是验证码的截图:
弹出验证码的Response如下:
完成验证码的Request如下:
通过观察,我发现只需将验证码的点击坐标发送至完成验证码的接口,即可获取到token。因此,现在的目标是提取坐标。
观察发现,这个验证码相对简单,因为它没有图案扭曲,所以通过率较高。同时,我也回忆起之前解决滑动验证码的方法(一并展示)。
要通过验证码,首先需要将目标图案在背景上定位,找到其像素点。为此,我使用了Python的OpenCV库进行识别。
1.提取:首先,我发现目标都是黑色图案,背景为透明。当我使用cv2.imread(front_image)加载时,显示一片漆黑。即使后来我使用了保留透明通道的加载方式,结果依旧。
为了解决这个问题,我决定剥离透明通道,将目标图案透明色设置为白色,这样目标图案就自然显现了。
2.找到目标图的位置:接着,我将目标的三个图案分割出来,分别找出它们的像素位置。由于图案排列位置固定,我直接记录坐标进行像素分割。
分割后,我将目标图和背景图都转化为灰度,以防止颜色干扰。
然后进行最佳匹配。然而,匹配结果并不理想,无法准确找到所有三个目标图案,因此需要进一步优化。
3.优化匹配方案:继续观察后,我发现背景中的目标图案总是白色的,因此我决定保留背景上的白色部分,其余部分转为黑色。
为了尽可能保留完整的图案,我经过多次尝试,发现-区间的RGB颜色可以保留大部分目标图案的白色。
同时,我将黑色的目标图案反转为白色。
由于需要获取的是点击坐标,我将左上角坐标(x1,y1)进行+的偏移,以移动到图案本身上面。
经过验证,现在的识别方法可以正常通过点击验证码。
滑动验证码的解决方案与点击验证码类似,甚至现在常见的一种滑动验证码已经有了通用的代码。
看雪ID:暮至夜寒
看雪-安全社区|安全招聘|kanxue.com
本文为看雪论坛精华文章,由暮至夜寒原创,转载请注明来自看雪社区
阅读原文: