浅谈Web安全验证码
为防止服务器端的资源被客户端的计算机程序滥用或攻击,服务器需要区分当前用户是计算机还是人类,一般在网站的关键操作位置都会采用验证码技术来区分。围绕验证码展开的攻防技术在Web安全中有着重要地位,本文将从验证码的工作原理出发,介绍验证码实现上容易产生的问题,并对其攻防技术现状和未来做一个简要介绍。
标签:验证码
共 7 篇相关文章
实现动态验证码的思路
验证码主要是防止机器暴力破解。之前的验证码都是以静态为主,现在一些产品开始使用动态方式,增加破解的难度。动态方式以 gif 最为简单可靠。gif 兼容性好,尺寸小。这里分享的就是一种:用 JS 实现 gif 动态验证码的思路。
pytesser:图片验证码识别
pytesser是一个用于图片文本识别的python模块:http://code.google.com/p/pytesser/,即从文本的截图中还原出文本信息; 网上在windows上安装、使用的资料比较多,而没有linux的资料; 作者虽然没有说明pytesser在linux环境下测试过,但也表示“The scripts should work in L...
验证码的几个常见漏洞
把验证码存储在Cookie中 一般来说,我们会把验证码的值用Session存储起来,通过对比用户提交的验证码和Session中的验证码,就可以知道输入是否正确。由于Session会占用服务器资源,我曾经想过是否可以把验证码的值加密后存储在Cookie中。不过事实证明,这只是异想天开罢了。 假设验证码的值是a,通过sha1加密后得到的值为b = sha1(a),并且把b存储在Cookie中。而用户提交的验证码值为c,通过判断sha1(c)是否与b相等,可以知道输入的验证码是否正确。然而,Cookie是受客户端控制的。如果用户事先通过肉眼看到验证码的值是a,又从Cookie中得知此时的加密值为b,那么,他只要在提交前把Cookie的值修改为b,提交的验证码值为a,就可以永远通过验证。
CI框架里用的验证码
自带那个不太喜欢,于是另外折腾了个.
一个Captcha的思路
Captcha――或者很山寨的说――图形验证码,是一个让人又爱又恨的技术。一方面它给正常用户增加了额外的负担,降低可用性;另一方面没有它,你一定迟早碰到 spam 的问题。我想大家都在致力于提高 Captcha 的可用性,即设计出"人"可以轻松识别,但是对机器(ANN/SVM)却很困难的技术。每当看到Google那样扭曲到变态的图标,正常用户都会感到愤怒。我以前看到一个比较有意思的方法是,让用户把一副图片旋转成正确的角度:比如一个凳...
验证码的使用场景小议
验证码,一个对用户毫无价值,但对网站却是一个自我保护的屏障。 通常,验证码出现在提交表单的情况下,用于网站判断数据提交方是正常用户还是机器人。 比如: 1:在新用户的注册流程。可以用来遏制恶意注册。 2:用户密码取回流程。可以用来防止用户密码被恶意夺取。 3:用户登录。一般出现在多次密码输入错误,可以用来防刷密码。 4:文章评论。可以防止广告等信息的传播。 ...... 从产品上看,以上流程,对用户体验而言,让用...