在生活中经常会碰到要求输入手机验证码的情景，例如注册账号、找回密码、异地登录等，对黑客而言这是非常讨厌的技术，有没有方法可以破解呢？目前，主流的破解收到如下所示：

方法1：利用过滤不严漏洞入侵

所为过滤不严就是网站没有做好安全细则规划，验证码模块无法发挥正常作用，黑客随意输入验证码就可以获得通过，多见于新上线的网站和小网站。如此黑客就可以利用漏洞可以批量注册马甲账号，或者知道受害者的账号和密码就可以重置数据，令受害者无法登录自己的账号。

方法2：利用无限制漏洞作恶

有的网站系统考虑不周到，设计验证码模块没有考虑黑客因素。例如网站系统设定为每隔60秒就可以向指定手机发送短信，没有发送次数限制、没有对手机号码的限制，于是可通过编写Python脚本来计算短信下发时间间隔就可以实现短信轰炸某个人的手机，令一个人彻底崩溃——有的黑客利用这个手法来进行敲诈或者给非法人士充当打手。

短信轰炸代码

方法3：利用未绑定漏洞搞鬼

正常情况下，短信验证码只能使用一次，但如果用户的账号和手机号码没有绑定，且网站系统没有设定验证码与手机号码绑定，那么就可以出现一部手机在一定时间间隔内接到两个验证码都可以用，或者一部手机接到的验证码另外一部手机也可以用。那么黑客就可以远程盗取受害者的验证码，在自己的手机上使用。

方法4：暴力破解验证码

短信验证码一般由4位或6位数字组成，如果网站系统或者手机APP服务器未对验证时间、次数进行限制，就存在暴力爆破的可能（不一定可以成功，但理论上是可行的，且成功率较大）。通过黑客攻击抓包，再将短信验证码字段payloads取值范围设置为000000-999999就可以进行暴力破解，根据返回响应包长度判断是否爆破成功。

閱讀更多 電腦報幫選 的文章

關鍵字: Python 黑客 破解