有知情人透露称,12306的新版验证码已被破解,黄牛利用专业软件识别并回传填写,整个过程只需3秒钟。同时,为了应对网站升级,黄牛还更新抢票手段,利用12306预订军残票无需验证、45分钟支付等待时间循环刷票等方式进行刷票。

此前,为应对抢票软件,12306升级验证码,将静态的验证码变成了不断摇动的彩色动态验证码,致使不少刷票软件失效。

最近发现12306的验证码已经遭到某些厂商的密切关注,致使不管怎么改,他们都会及时破解,以至于“自动填写验证码”成了标配功能。。

于是从多方面重新分析了12306的验证码机制:

12306的验证码判断机制有两种,一种是提交操作的时候(比如登录),这不必多言;另一种是当填完验证码的时候,会自动检查一下验证码是否正确。

(https://kyfw.12306.cn/otn/passcodeNew/checkRandCodeAnsyn?randCode=8rhw)

后一种无非是增加用户体验,让用户提前知道自己输入的验证码是否正确,但是这已经被某厂商拿来所用,它可以检测自己是否填对了,若不对则刷新验证码重新识别,直到成功为止,进而向大家吹嘘自己多牛,这显然会给春运购票造成更大的拥堵。

阿里云-推广AD

把后一种验证码判断机制去掉,对某些厂商而言,将会是致命打击;而对广大用户而言,则影响不大。

另外,针对最近各大浏览器厂商吹嘘自己能自动识别12306验证码

12306回应:简化验证码是为了方便群众识别,炒作无下限。。。。

具体内容自己看

http://www.wooyun.org/bugs/wooyun-2013-046655

乌云:12306弱验证码可被轻松识别漏洞。12306对抢票浏览器的鄙视 - 卡饭论坛 - 22222.jpg

乌云:12306弱验证码可被轻松识别漏洞。12306对抢票浏览器的鄙视 - 卡饭论坛 - 1111.jpg