2012年2月 Web 开发大版内专家分月排行榜第二
本帖子已过去太久远了，不再提供回复功能。这是我见过的最难认的验证码， 求问怎么回答_wp7吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：224,358贴子：
这是我见过的最难认的验证码， 求问怎么回答收藏
到某网站注册个帐号， 遇到这个
防止二次污染，含汞废物处置就找铜仁银湖化工
输入几次都不对， 在线等
可怕⊙﹏⊙
这个厉害了，文科生表示一脸懵逼
––来自Lumia636备胎机
刷新几次验证码 ， 越来越复杂， 这个简单， 谁知道
???，一脸懵逼，文科生表示完全不懂
最好去化学QQ群里问一下
证明你没有高中水平
ui培训哪个好，0基础+双证+实战「就业无忧」
C7N1S2H5，不知道顺序有没有错
理科生稍微看下都看得懂吧除非没读高中
我只想知道哪个网站用这么蛋疼的验证方式
我操 几年不看书看不懂了
已经忘记了
分子式还行，名称真的答不上了?
这个简单啊
毕业了就看不懂了
我打算开个网站要认图输入女优的名字
化学 都忘记了
我第一眼还以为是要填系统命名法
哈哈哈哈哈。。。
看到lz的id我就想起有人发的一些黑历史
文科生表示没看懂庆少b带您背单词:[四级]pile/pail/n.堆vt.堆叠，累积
青铜星玩家
百度移动游戏玩家均可认证(限百度账号),
这是啥网站
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或转帖的，十种最难的验证码_变身文学吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：72,652贴子：
转帖的，十种最难的验证码
一楼本君和爱妃AC娘一同镇楼
【贴吧神吐槽】小喇叭开...
你这是欺负我说粤语不会...
A B C D E F G H
新人第一次玩贴吧，求解...
每次都得看特别久。。
有时候开始怀疑自己的智...
老不正经的薯片
防止二次污染，含汞废物处置就找铜仁银湖化工
No7.有俩大坨东西挡着验证码了.这叫色弱的人情何以堪啊.
No.4右上角的j与8是亮点吗?
No.3世界上有的人,但是其实他已经死了.有些人已经死了,却不让我们好好活着.比如,,莱布尼茨.这让高数挂了的情何以堪啊.
No.2以吊丝们的智商.4面体已经是极限了吧?顺便剧透下,你们图样图森破.度娘没你们看得那么简单.
ui培训哪个好，0基础+双证+实战「就业无忧」
No.1!乃们能瞧得出来这个是0还是o还是O吗?神兽已经阻止不了度娘了.在下一盘很大的棋呢
崩溃了！不行了！受不乌了！来只兔子安慰一下
好.好厉害.......这种验证码......谁能填啊.....
B站注册时我就崩溃了 凌波的微笑被称为什么……
可以转贴吗？
这是接头暗号吧
⊙ω⊙好牛
还能不能好好玩耍了
百度小说人气榜
贴吧热议榜
使用签名档&&
保存至快速回贴int&getDigital(char&dig[10]){&&&&&&const&char&orgdig[10][10]&=&{&&&&&&&&&&&&&&{0x3c,0x66,0xc3,0xc3,0xc3,0xc3,0xc3,0xc3,0x66,0x7e},&//0&&&&&&&&&&&&& {0x18,0x1c,0x18,0x18,0x18,0x18,0x18,0x18,0x18,0x00},&//1&&&&&&&&&&&&& {0x3c,0x66,0x60,0x60,0x30,0x18,0x0c,0x06,0x06,0x7e},&//2&&&&&&&&&&&&& {0x3c,0x66,0xc0,0x60,0x1c,0x60,0xc0,0xc0,0x66,0x38},&//3&&&&&&&&&&&&& {0x38,0x3c,0x36,0x33,0x33,0x33,0xff,0x30,0x30,0xfe},&&//4&&&&&&&&&&&&& {0xfe,0xfe,0x06,0x06,0x3e,0x60,0xc0,0xc3,0x66,0x3c},&&//5&&&&&&&&&&&&& {0x60,0x30,0x18,0x0c,0x3e,0x63,0xc3,0xc3,0x66,0x3c},&//6&&&&&&&&&&&&& {0xff,0xc0,0x60,0x30,0x18,0x18,0x18,0x18,0x18,0x18},&&//7&&&&&&&&&&&&& {0x3c,0x66,0xc3,0x66,0x3c,0x66,0xc3,0xc3,0x66,0x3c},&//8&&&&&&&&&&&&& {0x3c,0x66,0xc3,0xc3,0x66,0x3c,0x18,0x0c,0x06,0x03}&&//9&&&&&& };&&&&&&&&int&i=0,&j=0;&&&&&&int&ret&=&1;&&&&&&&for(i=0;&i&10;&i++)&&&&&& {&&&&&&&&&&&&& ret&=&1;&&&&&&&&&&&&&for(j=0;&j&10;&j++)&&&&&&&&&&&&& {&&&&&&&&&&&&&&&&&&&&if(orgdig[i][j]!=&dig[j])&&&&&&&&&&&&&&&&&&&& {&&&&&&&&&&&&&&&&&&&&&&&&&&& ret&=&0;&&&&&&&&&&&&&&&&&&&&&&&&&&&break;&&&&&&&&&&&&&&&&&&&& }&&&&&&&&&&&&& }&&&&&&&&&&&&&if(ret)&&&&&&&&&&&&&&&&&&&&return&i;&&&&&& }&&&&&&return&-1;}主函数：char&picc[500],&t[40],&od[10];&&&&&&char&separators[]&=&",";char&*token,&*int&i=0,&j=0;//获取需要识别的图片中的数据描述部分，内容为//0x3c,&0x3c,&0x18,&0x3c,&0x66&…//将其存放在字符串picc中…………//分解获得的串token&=&(char&*)strtok(picc,&separators);&/*&Get&the&first&token&*/if(!token){&&&&&&return(&-1&);}&while(&token&!=&NULL&){&&&&&&if(!strcmp(token&,&""))&&&&&&&&&&&//处理为“空”的内容，将其替换成0x00&&&&&&&&&&&& t[i]&=&0x00;&&&&&&else&&&&&&&&&&&& t[i]&=&strtol(token,&&endstr,&16);&&&&&&&&&&&& i++;&&&&&& token&=&(char&*)strtok(NULL,&separators);}for(i=0;&i&4;&i++)&&&&&&&&&&&&&&&&&&&&&&&&&//一共4个数字，分别调用getDigital函数进行处理{&&&&&&for(j=0;&j&10;&j++)&&&&&& {&&&&&&&&&&&&& od[j]&=&t[j*4+i];&&&&&& }&&&&&& lr_output_message("%d",&getDigital(od));}
其他通过服务器代码绘图方式实现的识别码识别相对麻烦一些，但原理上都差不多，无非是将获取到的图片进行分析，通过识别方法判断其对应的符号。
&!--[if !supportLists]--&1.2&!--[endif]--&服务端插入法
如果可以控制和修改服务端代码，就可以使用服务端插入法。该方法在服务端提供一个可被客户端使用的接口，只要客户端传递过来自己的SessionID，该接口就返回此时正确的Session，这种方法就可以很容易地让自动测试工具直接获取到正确的应该提交的验证码内容。从测试的角度来说，这种方法就等于是在系统上增加了一个测试接口，从而提高了系统的可测试性。
服务端插入法的实现并不复杂，在任何一个平台上都能很容易实现，在此就不再赘述了。服务端插入法可以针对任何类型的应用使用，但这种方法也有明显的不足：
&!--[if !supportLists]--&1、&!--[endif]--&如果是已经上线的应用，网站不太可能会允许保留一个这样的接口，因此，该方法一般用于还未上线的WEB系统，如果要在已上线的WEB系统上使用该方法，则必须通过管理上的方法提高该方面的安全性；
&!--[if !supportLists]--&2、&!--[endif]--&采用这种方法，在时，由于该方法需要额外请求一次才能获得实际的验证码，相对于实际的用户操作来说，访问带有验证码页面的请求会多一次，因此在获得的测试结果上会有些许的差异。
&!--[if !supportLists]--&1.3&!--[endif]--&解决自动测试中验证码问题的非技术方法
其实，测试并不只是单单的技术问题，除了上面给出的识别法和服务端插入法，其实，通过非技术的方式也能让自动化测试在具有验证码的系统上成功应用。当然，这些非技术方法应用的前提是，测试团队必须具有足够的能力和机会影响系统的实现。如果完全没有方法接触到服务端代码或是完全不能修改服务端代码，以下的方法就都不能应用了。
下面，让我们跳出技术的范围，换个角度来看看如何解决验证码的问题：
&!--[if !supportLists]--&1、&!--[endif]--&屏蔽法
屏蔽法是最容易想到的一种方法，方法的核心就是：在被测系统中暂时屏蔽验证功能。这种方法最容易实现，对测试结果也不会有太大的影响（当然，这种方式去掉了“验证验证码”这个环节，如果该环节本身存在功能上的问题，或是本身就是性能的瓶颈，那就一定会对测试结果造成影响了）。但这种方法也有一个问题：如果被测系统是一个实际已上线的系统，屏蔽验证功能会对已经在运行的业务造成非常大的安全性的风险，因此，对于已上线的系统来说，用这种方式就不合适了。
&!--[if !supportLists]--&2、&!--[endif]--&后门法
后门法不屏蔽验证码，但在其中留一个后门，在代码中设定一个所谓的“万能验证码”，只要用户输入这个“万能验证码”，就能通过验证，否则，还是按照正常的验证方式进行验证。这种方式仍然存在安全性的问题，但由于我们可以通过管理手段将“万能验证码”控制在一个小的范围内，而且只在测试期间保留这个小小的后门，相对第一种方法来说，在安全性方面有了较大的提高。
&!--[if !supportLists]--&1.4&!--[endif]--&各种方法的比较
本文提供了多种用于解决具有验证码的WEB系统在自动测试时遇到问题的方法，这些方法既包含技术性的方法，也包含非技术性的方法。但由于每种方法的出发点不同，因此这些方法也就具有各自不同的优缺点和适用场合。本节我们对本文提到的各种方法进行比较，分别给出其优缺点和适用的场合。
技术性方法
非技术性方法
服务端插入法
不需要修改代码，也不需要在代码中增加额外的接口和后门，在服务端代码不可接触到的情况下，是唯一的选择
理论上来说可以解决任何验证码的问题，而且不需要修改已有的服务端代码
简单修改现有代码就能让自动测试顺利进行，开销小
实现方式不复杂，对现有代码改动小，安全性相对有保证
存在技术限制，只能对相对简单的验证码图片进行分析识别，对复杂的图片无法进行识别
存在一定的安全隐患，如果被攻击者获知测试接口，验证码就会失去作用
存在很大的安全问题，对于未上线应用还可应用，对于已上线的实际应用，该方法不可行；况且，由于该方法需要对代码修改的内容太多，导致发布时可能发生某些验证码被不正确屏蔽的情况
如果被攻击者探测得到万能验证码，则验证码会失去作用
&!--[if !supportLists]--&1、&!--[endif]--&服务端代码不可接触到或是不可进行任何修改
&!--[if !supportLists]--&2、&!--[endif]--&验证码采用xbm等较简单的方式实现
未上线系统，或是在测试条件下安全性要求不是特别高的系统；
开发阶段，未实际上线的系统
可在实际应用系统上应用
纯粹的客户端识别解决方案成本较高，建议主要采用服务端方式实现
在管理上需要增加对测试接口的管理，系统在发布时需要保证去掉测试接口
在发布管理时，一定要有合理的方案保证发布时所有被屏蔽的验证码能够得到恢复
为了保证上线系统的安全，该方法一般需要结合密码管理方法使用，通过定期更换万能验证码、控制其知晓范围等手段保证安全
&!--[if !supportLists]--&2&!--[endif]--&小结
针对WEB系统的验证码对自动化测试带来的挑战，本文详细分析了WEB验证码常见的实现方法，并根据分析提出了几种不同的解决方案：识别法、服务端插入法、屏蔽法和后门法。这几种方法各有其优缺点和适用场合，因此本文也给出了这几种方法之间的对比，并给出了各种方法的应用建议。
当然，本文的重点是介绍解决WEB系统的验证码对自动化测试带来问题的方法，在实际的自动化测试过程中，除了需要了解本文所介绍的方法外，还需要了解相应的自动化测试工具的具体应用方法，虽然不同的测试工具在提供的功能上大同小异，但在具体的使用层面上，不同的工具还是有较大差异性的，请读者自行查阅相应的测试工具文档，从工具的文档中获取相应信息。
发表评论：
馆藏&21253
TA的推荐TA的最新馆藏[转]&[转]&[转]&[转]&[转]&[转]&[转]&[转]&