验证码的作用

1.登录暴力破解

2.防止机器恶意注册

验证码的认证流程：

步骤一：客户端request登录页面，后台生成验证码

• 后台使用算法生成图片并response给客户端
• 同时将算法生成的值全局赋值存到session中

步骤二：校验验证码

• 客户端将认证信息和验证码一同提交
• 后台对提交的验证码与session里面进行比较

步骤三：客户端重新刷新页面，再次生成新的验证码

• 验证过算法中一般包含随机函数，所以每次刷新都会改变

验证码绕过（on client）

如果不输入验证码会提示输入验证码

如果输入错误的验证，会提示验证码不正确

同时验证码也刷新了

看一下JS源码

我们可以知道验证码是由数字和大写字母组成，且长度为5

抓包可以看到，提示里只提到了用户名和密码

不用验证码也是只提到了用户名和密码

长度过长好像也一样，看来跟验证码没多大关系，重点就放在用户名和密码上了

破解完了用户密码是这个

登录成功~