第一次看到，居然真的是数字验证码

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2310 天前的主题，其中的信息可能已经有所发展或是发生改变。

今天闲逛看到达观数据官网，随便点点就到注册页面。然后我看他的验证码挺不错的就刷新了几次。然后我就感觉不太对劲不像是图片，就像是纯数字。后来看了下真的是纯数字诶。

上网这么多年了，今天还是头一回看到纯数字做的验证码。。。。

Alt text

https://data.datagrand.com/signup/#/experience

验证码

纯数字诶

数字

达观

43 条回复 • 2017-12-30 13:44:22 +08:00

wafm

2017-12-28 15:40:51 +08:00

手机短信轰炸又多一个接口了

mokeyjay

2017-12-28 15:41:25 +08:00

验证码背景图笑死 https://data.datagrand.com/images/vcode_bg.jpg

ofnh

2017-12-28 15:47:08 +08:00 via Android

真人才

exocell

2017-12-28 16:45:39 +08:00

大忽悠

Weny

2017-12-28 16:50:32 +08:00 via iPhone

@wafm 短信服务平台应该有限流吧..

ljsh0102

2017-12-28 16:53:24 +08:00

666

SingeeKing

2017-12-28 16:59:12 +08:00

这是在逗你玩。。

panlilu

2017-12-28 17:30:53 +08:00

一口老血

fyibmsd

2017-12-28 17:34:35 +08:00

https://data.datagrand.com/share/user/getPicVerify

overflowHidden

2017-12-28 17:50:28 +08:00

怎么感觉是后台生成的随机数直接返回前端

Sivan

2017-12-28 17:53:14 +08:00

而且还为一个没用的功能开发了接口，2333333333

Biwood

2017-12-28 17:54:58 +08:00

典型的“知其然不知其所以然”

POPOEVER

2017-12-28 17:55:39 +08:00

看到 AngularJS + bootstrap

x86

2017-12-28 17:56:22 +08:00

鼠标拖上去直接复制...

cominghome

2017-12-28 18:08:01 +08:00

可以说是清除缓存的另一个高级版本了

Mac

2017-12-28 18:08:21 +08:00 via Android

你看看我之前遇到的

https://www.v2ex.com/t/239071

Flobit

2017-12-28 18:09:56 +08:00 via Android

这样就方便多了。。。

ericbize

2017-12-28 18:13:09 +08:00

之前看过图片文字和名称是一样的

daben1990

2017-12-28 18:25:27 +08:00

首页 Sologn 写着安全稳定可靠？？？？

anasplrt34

2017-12-28 18:29:39 +08:00

这在 36 氪上面显示是创业 A 轮

yu099

2017-12-28 18:49:50 +08:00 via Android

https://data.datagrand.com/share/sms/getverify?phone=*****&piccode=＊＊＊＊
随便填都能发，真的服气

yu099

2017-12-28 18:50:37 +08:00 via Android

还带了那多的 cookie 啥的，根本没用

chinvo

2017-12-28 19:04:31 +08:00

很多这种实现的

安全性……约等于零

paranoiagu

2017-12-28 19:25:48 +08:00 via Android

前几年预约纪念币的农行，短信验证码发生后手机收不到，但是 F12 可以看到。

Tompes

2017-12-28 22:29:34 +08:00

我还见过用<input type=hidden /> 装验证码的.

009694

2017-12-29 00:27:09 +08:00 via iPhone

@chinvo 其实是直接等于 0

yangxiongguo

2017-12-29 00:36:07 +08:00

我朋友之前找我看他找外包做的网站，验证码直接在本地判断，很多外包都是这样搞的吗？

MIMEIK

2017-12-29 00:40:15 +08:00 via Android

这不是我刚学 JavaWeb 写的验证码吗，当时还琢磨了好一阵。😂

lycc

2017-12-29 00:52:46 +08:00 via Android

人才啊。。。

caola

2017-12-29 01:13:20 +08:00

这太有才了吧。。。

看来是初出茅庐的小伙子，没经过一些风雨

ks3825

2017-12-29 02:25:43 +08:00 via Android

真的开眼了

zhoufenfens

2017-12-29 02:39:59 +08:00 via Android

用的还是 angular 框架

gimp

2017-12-29 08:54:33 +08:00

涨见识了。

VYSE

2017-12-29 08:56:11 +08:00 via Android

还有发短信验证码 response 里自带的

ryanhui

2017-12-29 10:52:34 +08:00

以为用户都是文明人

vjnjc

2017-12-29 11:50:27 +08:00

只防用户，不防同行

yksoft1

2017-12-29 11:54:04 +08:00

<h3>test datagrand</h3>
<div>
<form method="get" action="https://data.datagrand.com/share/sms/getverify" >
<div>Mobile:<br />
<input type="text" name="phone" id="mobile" value="10086">
<input type="text" name="piccode" id="datagrand_piccode" value="">
</div>
<input type="submit" value="Msg!" name="submit">
<input type="button" value="Get Piccode" onclick="GetDatagrandPiccode('datagrand_piccode');">
</form>
</div>

</body>
</html>
<script language="javascript">
function GetDatagrandPiccode(inputid)
{
var requestURL = 'https://data.datagrand.com/share/user/getPicVerify';
var request = new XMLHttpRequest();
request.open('GET', requestURL);
request.responseType = 'json';
request.withCredentials = true;
request.onreadystatechange = function()
{
document.getElementById(inputid).value=request.response.PicCode;
};
request.send();

}

younixiao

2017-12-29 13:12:39 +08:00

大家好，我就是写出这个安全性很低的达观数据的菜鸟前端，当时需求紧，后端同学也在忙其他项目，就自己乱搞了一下。
感谢各位大大的指正和批评，现在我已经把这个验证码升级到了真正的图片验证码。
今后无论多么急迫的需求我都会按照“正常的套路”实现，这次也算是一个血的教训，感谢大家指出问题。
ps：我们还在招前端大牛，欢迎各位大大来投递简历，来了以后带带我，简历投递邮箱 [email protected]