尝试访问

http://mdsec.net/feedback/8/

3.使用人类破解者

有时,需要破解大量CAPTCHA拼图的犯罪分子会采用一些并不适用于执行Web应用程序安全测试的技巧,如下所示。

img002 攻击者可以使用某个貌似善意的Web站点诱使人类CAPTCHA代理破解目标应用程序传递的拼图。通常,攻击者会利用竞赛奖励或免费访问色情内容来吸引用户。用户填写注册表单后,将会看到一个从目标应用程序实时提取的CAPTCHA拼图。用户破解该拼图后,攻击者会将其提供的答案提交给目标应用程序。

img002 攻击者可以向发展中国家的人类CAPTCHA工蜂支付费用,由后者破解大量拼图。一些公司提供这种服务,每破解1000个拼图付费不到1美元。