网站投票防刷票验证码分析和实践.docxVIP

网站投票防刷票验证码分析和实践来源:八方刷票公司综述篇现如今，网站投票的方式被越来越多地用于各种评比活动中，互联网无疑为投票活动带来了极大的便捷，但是也由此产生了新的问题——刷票、或者准确的说是机器刷票。回忆5、6年前各种选秀活动大量采用手机短信投票方式，从那时起刷票公司遍地开花，往后几年“圈钱”“骗钱”的手机短信方式逐渐减少，纯网站形式渐渐增多。也许就是从那时开始带热了刷票行业，到现在加上木马病毒灰色产业链的帮助，防刷票的技术门槛被大大的提高，刷票与防刷票已经演变为一场攻防较量。想必所有正儿八经的投票主办方都不愿意自己的网络投票被人通过技术手段任意地增加票数，但是HTTP技术使然，想实现并采用比较有效的防刷票方式却又不是那么容易，或技术成本过高，或用户体验不佳。本文正是希望通过分析，例举和对比各种验证方法，探索一些较好的防刷票验证方式，既能方便的实现和部署，又不失对用户的友好。本文涉及的技术主要基于Linux、nginx、mysql、php-fastcgi构建的WEB平台（缩写为LNMP），包括gd库、curl库等，另外涉及的工具可能包括Firebug、Httpfox、Httpwatch、Fiddler、IE WebDeveloper。文章将依次列出各种常见的验证码形式，对其为何被攻破的原因作出一定的阐述，可能由于个人水平有限，分析不到位或不准确，欢迎拍砖。最后还得注明一点，本文谈的主要是防机器刷票，对于靠人肉战术，以拼人数，拼体力的方式刷票就没有什么太好的解决办法了。分析篇该部分将对基本而常见的验证方式进行分析。1.Cookie方式。这是一种很老的验证方式，原理是通过在浏览器上用cookie来记录相关信息，如最后一次投票的时间或已投票次数，如果用户再次投票时检测到超过了限制，则提示用户不能投票。普通破解方式，可以通过浏览器的设置如IE的Internet选项，对cookie进行清空操作，而后cookie验证即宣告失败，一切计数从零开始。或者安装如Httpwatch、Fiddler、IE WebDeveloper等工具，这些工具中有按钮可以直接删除所有cookie或某些cookie。程序破解方式，可以编写程序，对浏览器保存cookie的目录全部清空或部分删除。也可以使用如curl库，模拟浏览器访问，包括记录访问的cookie到某个文件中，而后在程序中清空或删除cookie文件即可。有的网站虽然采用了cookie方式验证，但是却不验证浏览器到底支不支持cookie，到底从cookie中有没有取到数据，只是判断有cookie验证数据如何做，没有则跳过，这样的话，直接禁用cookie就实现了破解。2.IP方式IP限制曾经是比较有效的一种验证方式，由于IP的稀缺性决定了想要获取大量IP是存在一定难度的，因此IP限制一直到现在都被广泛使用。IP限制通过记录投票的IP地址、投票数量和时间来判断该IP用户是否超过投票限制，超过限制则不能投票。普通破解方式，没有太简便的普通方式破解IP限制，如果有一定耐力的话，可以在PC上操作拨号连接，超过投票限制就断开重新拨号，这样可以获取一定数量的不同IP，但也不是每次都不同，毕竟电信运营商局端的IP池也是有限的，靠人工如此操作，效率很低人也很疲劳。程序破解方式，可以使用一些拨号工具或代码，由程序来不断重复“拨号——投票——断开”的过程，但除了解放了人力外，能获取不同IP的数量仍然是比较有限的。有一些刷新软件中提供连接国内外代理服务器的方式，但是终究数量有限，而且访问国外代理服务器还存在连接困难，速度慢等问题。还有一种程序破解方式，它的出现和使用让IP限制变的毫无作用。通过实际情况分析以及与刷票公司的沟通，推断和了解到刷票公司手中握有大量“肉鸡”，可以通过肉机进行投票操作，现在木马横行，肉机数量硕大，此种方式所能获取的IP可谓是海量的，IP限制面对此种方式完全失去了作用。3.表单验证串有的网页表单会以hidden形式保存一些随机的验证字符串，每次刷新表单这个值都会发生改变，提交表单时如果没有这个值或者值不符则提交失败。要破解这种表单需使用如Httpfox或Httpwatch分析提交表单时的具体数据，结合Firebug或IE WebDeveloper或直接查看网页源码，便可找出这一随机字符串的变量名和数值。编程时可以使用不同的方法（方法很多，不在此赘述）获取表单所在页面的源码，通过如正则表达式等方式从中截取出这个数值。与此相同的道理，也可以把这个数值保存在session中，但只要刷票程序能按照HTTP协议规范模拟出正常的访问（如使用curl库），破解反倒更为容易。总之，表单验证串方式还是很容易破解的，只要对HTML代码有一定了解，具备一定的编程能力，此种验证方式也仅能是稍稍增加了一点点破解的门槛而已。4.