新版12306网站图片验证码被破解

懵懂中国心 · 发表于 2013-12-23 11:43:29

12306近日新版网站上线，但却被频繁曝出安全漏洞。据国内安全问题反馈平台WooYun(乌云)爆料，于12月6日刚刚上线“自动抢票”功能的新版12306网站系统出现重大漏洞，其图片验证码已被技术人士破解。

以下是具体漏洞细节和破解信息：

图形验证码非常简单，简单的程序即可识别。

12306的验证码抗干扰难度很低。利用photoshop的色调分离技术，即可得到辨识度很高的图片。色调分离很容易实现，比如当参数为3时，会把图片红蓝绿每个通道简化成3个颜色值，并最终形成3 x 3 = 9个颜色值。

然后配上简单的优化，即把没有上下相邻都没有颜色的点排除掉。

将此图片交给Tesseract-OCR，识别率为10%，配上代理服务器，用户将可随意拖库、抢票。

漏洞证明：

色调分离的代码实现

识别验证码所用的样本图片：

实验结果，采集途径北京北站的火车

ahui127 · 发表于 2013-12-30 11:23:52

强悍如斯何愁抢不到票

lub_Sun · 发表于 2014-1-10 15:43:58

我来点亮版块

demonclan · 发表于 2014-1-23 11:33:28

WOOYUN大虾啊~~~~~~~~

帐号		自动登录	找回密码
密码			入住

[WEB] 新版12306网站图片验证码被破解