日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、什么是驗(yàn)證碼?

CAPTCHA是(全自動區(qū)分計(jì)算機(jī)和人類的圖靈測試)的簡稱，是用于區(qū)分計(jì)算機(jī)和人類的一種程序算法，這種程序必須能生成并評價人類能很容易通過但計(jì)算機(jī)卻通不過的測試。

像我們平時最常遇到的，就是基于圖片的驗(yàn)證碼。這類圖片驗(yàn)證碼通常包含的，都是些易于用戶識別簡單的驗(yàn)證信息。如下圖所示。用戶必須準(zhǔn)確的識別圖像內(nèi)的字符，并以此作為人機(jī)驗(yàn)證的答案，方可通過驗(yàn)證碼的人機(jī)測試。相反如果驗(yàn)證碼填寫錯誤，那么驗(yàn)證碼字符將會自動刷新并更換一組新的驗(yàn)證字符，直到用戶能夠填寫正確的驗(yàn)證字符為止。

二、驗(yàn)證碼的重要性

1. 防止與認(rèn)證相關(guān)的攻擊行為

以下列舉的是一些較易受到暴力攻擊的點(diǎn)。例如：

• 登錄：一旦缺少驗(yàn)證碼的保護(hù)，攻擊者則很可能通過暴力破解的方式非法接管用戶賬戶。
• 忘記密碼：如果網(wǎng)絡(luò)應(yīng)用程序使用詳細(xì)消息響應(yīng)帳戶存在或不存在，那么攻擊者則可以進(jìn)行用戶名的枚舉。
• 注冊：程序批量創(chuàng)建垃圾賬戶。此外還可以進(jìn)行用戶名的枚舉。(正常情況下沒有應(yīng)用程序會允許用戶，同時注冊兩個相同用戶名的賬號)

2. 避免垃圾郵件和DOS

我們知道很多網(wǎng)站都有提交表單的功能，并需要由站點(diǎn)管理員審核通過。例如：會員申請，聯(lián)系我們，反饋表，調(diào)查表等。這些功能都需要驗(yàn)證碼的保護(hù)，如果不加以防護(hù)那么將會導(dǎo)致以下情況的出現(xiàn)：

• 大量的垃圾表單可能產(chǎn)生，不僅會影響網(wǎng)站的訪問速度，還會加大站點(diǎn)管理員的工作量，而且一些合法用戶的請求，也可能會因此被拒絕。
• 電子郵件轟炸：一些功能可以發(fā)送電子郵件到一個任意的郵件地址。如果沒有得到有效的驗(yàn)證保護(hù)，那么惡意攻擊者則可以利用程序，向特定的目標(biāo)發(fā)送大量的垃圾郵件。

3. 保護(hù)數(shù)據(jù)挖掘機(jī)器人

• 某些包含大量數(shù)據(jù)的站點(diǎn)極易遭受數(shù)據(jù)挖掘攻擊，因此它們也需要驗(yàn)證碼的保護(hù)。例如：社交網(wǎng)絡(luò)和搜索引擎。

三、驗(yàn)證碼為什么能被繞過?

驗(yàn)證碼被繞過，有以下兩個原因：

• 設(shè)計(jì)問題
• 執(zhí)行問題

在以下的內(nèi)容，我將會帶大家認(rèn)識到這兩個問題所在。以及如何解決這些問題，建立更為安全的人機(jī)驗(yàn)證。

1. 設(shè)計(jì)問題

設(shè)計(jì)問題則意味著驗(yàn)證碼本質(zhì)上的脆弱性，但執(zhí)行卻不存在問題。以下演示將有助于我們了解設(shè)計(jì)問題的真正原因，以及如何破解它：

(1) 設(shè)計(jì)問題#1：

以下的示例中我們可以看到，這里的驗(yàn)證碼就是一道數(shù)學(xué)運(yùn)題。而這里的問題就出在頁面的HTML源碼上。

你可以在Github上下載到該驗(yàn)證碼的源碼：

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/ArithmeticCAPTCHA

如何破解?

在這種情況下攻擊者往往都會通過獲取該頁面的HTML源碼，計(jì)算答案并提交HTTP響應(yīng)來破解驗(yàn)證碼。

你可以在Github上下載到該利用代碼：

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/CaptchaExploits

(2) 設(shè)計(jì)問題#2：

某些驗(yàn)證碼可能會采用相對有限的問題數(shù)據(jù)庫。例如以下是一個基于圖片的驗(yàn)證碼，很顯然這里不能再利用上面提到的破解方案來破解。但這里的問題出在，這里的圖片驗(yàn)證碼字符是固定并且有限的，在本例中該驗(yàn)證碼只會在來回10個固定字符組合中更換。因此一旦掌握了它的問題數(shù)據(jù)庫，那么破解也自然就不成問題了。

你可以在Github上下載到該驗(yàn)證碼的源碼：

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/TenRepeatedCAPTCHA

如何破解?

攻擊者首先必須手動解決這10個驗(yàn)證碼問題，并同時記錄下這些問題的答案。然后通過工具將這些問題的答案存放在自己的數(shù)據(jù)庫中，進(jìn)行不斷的暴力攻擊嘗試即可。

你可以在Github上下載到該利用代碼：

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/CaptchaExploits

2. 執(zhí)行問題

執(zhí)行問題則意味著驗(yàn)證碼由于執(zhí)行不力而可被破解，但從設(shè)計(jì)的角度來看是完美的。

以下示范將有助于我們了解，執(zhí)行問題的真正含義以及如何破解它：

(1) 執(zhí)行問題#1：

在演示中，我們正在使用Google reCAPTCHA人機(jī)驗(yàn)證。我們使用API將用戶解決的CAPTCHA響應(yīng)發(fā)送給Google的端點(diǎn)。更多請點(diǎn)擊：

https://www.google.com/recaptcha/intro/index.html 。API以JSON的輸出形式回復(fù)請求，以及HTTP狀態(tài)碼。到現(xiàn)在為止，還沒發(fā)現(xiàn)什么問題 !!

但是執(zhí)行問題也就出在這里。開發(fā)人員無法檢查JSON響應(yīng)，而以檢查發(fā)送的HTTP狀態(tài)碼是否為200 OK，作為驗(yàn)證碼正確與否的判斷依據(jù)。

你可以在Github上下載到該驗(yàn)證碼的源碼：

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/blob/master/GooglereCAPTCHA/weakcaptcha1.php

如何破解?

攻擊者只需要制作一個腳本即可將任何值發(fā)送給人機(jī)驗(yàn)證碼，并且都將會被服務(wù)器所接收，因?yàn)闊o論你發(fā)送什么答案，服務(wù)器都只會通過檢查Google API發(fā)送的狀態(tài)碼是否為200 OK來作為判斷依據(jù)。下圖中，我們作為答案發(fā)送的值是“InvalidAnswerOfCAPTCHA”

你可以在Github上下載到該利用代碼：https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/CaptchaExploits

(2) 執(zhí)行問題#2：

驗(yàn)證碼存在于web頁面，在用戶提交后將被驗(yàn)證，但問題卻出在了if和else一個簡單的子句中。這個錯誤是由于開發(fā)人員將響應(yīng)碼寫在了其它部分形成的。所以這里即使驗(yàn)證碼答案是錯誤的，應(yīng)用程序仍將給予用戶積極的響應(yīng)。

你可以在Github上下載到該驗(yàn)證碼的源碼：https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/blob/master/GooglereCAPTCHA/weakcaptcha2.php

如何破解?

攻擊者只需要制作一個腳本，即可向驗(yàn)證碼發(fā)送任意值。在下圖中，我們作為答案發(fā)送的值是“InvalidAnswerOfCAPTCHA”

你可以在Github上下載到該利用代碼：https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/CaptchaExploits

(3) 執(zhí)行問題#3：

驗(yàn)證碼存在于web頁面，但在提交后未在服務(wù)器端進(jìn)行驗(yàn)證。

你可以在Github上下載到該驗(yàn)證碼的源碼：

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/blob/master/GooglereCAPTCHA/weakcaptcha3.php

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/blob/master/GooglereCAPTCHA/weakcaptcha4.php

如何破解?

攻擊者只需通過輸入錯誤的驗(yàn)證碼和任意電子郵件，就可以輕松地繞過它。

你可以在Github上下載到該利用代碼：

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/CaptchaExploits

四、如何保護(hù)自己免受CAPTCHA攻擊?

其實(shí)這個問題也很簡單，大家可以按照以下步驟，來制作一個強(qiáng)大的CAPTHCA功能：

設(shè)計(jì)：實(shí)施設(shè)計(jì)良好的CAPTCHA方案。從以上示例中我們可以看到，大多數(shù)我們自己設(shè)計(jì)的驗(yàn)證碼都或多或少的存在一些問題。因此，我建議大家盡可能的使用像Google這樣的第三方CAPTCHA。

執(zhí)行：在你選擇了具有良好設(shè)計(jì)的人機(jī)識別系統(tǒng)后，下一步是正確的執(zhí)行。我們已經(jīng)看到，盡管有一個設(shè)計(jì)良好的CAPTCHA，但是如果不能正確執(zhí)行，仍然可以被破解。如果你使用的是Google reCAPTCHA，請參照以下操作步驟：

• 以檢查Google發(fā)送的JSON響應(yīng)取代HTTP狀態(tài)碼檢查。
• 在if和else子句中實(shí)現(xiàn)正確的邏輯，區(qū)分有效和無效的答案。
• 不要透露你的私人CAPTCHA密鑰。

你可以從這里下載安全的CAPTCHA代碼：

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/blob/master/GooglereCAPTCHA/goodcaptcha.php

五、總結(jié)

在實(shí)際業(yè)務(wù)及生產(chǎn)中，某些功能會要求有CAPTCHA。而不安全的CAPTCHA，將會導(dǎo)致敏感數(shù)據(jù)被竊取，認(rèn)證攻擊，DOS用戶甚至管理員等嚴(yán)重問題的發(fā)生。因此對于開發(fā)人員和使用者而言，具有一個好的設(shè)計(jì)和實(shí)施的CAPTCHA至關(guān)重要!

所有腳本的Github鏈接：https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script

當(dāng)前文章：小議驗(yàn)證碼的安全性及如何繞過
本文網(wǎng)址：http://www.5511xx.com/article/ccehhii.html