验证码安全性分析及绕过方法探讨.pdfVIP

什么是？

CAPTCHA是(全自动区分计算机和人类的图灵测试)的简称，是用于区分计算机和人

类的一种程序算法，这种程序必须能生成并评价人类能很容易通过但计算机却通

不过的测试。

像我们平时最常遇到的，就是基于的。这类通常包含的，都是

些易于用户识别简单的验证信息。如下图所示。用户必须准确的识别图像内的字符，并

以此作为人机验证的，方可通过的人机测试。相反如果填写错误，那

么字符将会自动刷新并更换一组新的验证字符，直到用户能够填写正确的验证字

符为止。

的重要性：

防止与认证相关的行为：

以下列举的是一些较易受到的点。例如：

登录：一旦缺少的保护，者则很可能通过的方式接管用户账

户。

忘记：如果网络应用程序使用详细消息响应帐户存在或不存在，那么者则可

以进行用户名的枚举。

：程序批量创建账户。此外还可以进行用户名的枚举。（正常情况下没有应

用程序会允许用户，同时两个相同用户名的）

避免邮件和DOS：

我们知道很多都有提交表单的功能，并需要由站点管理员审核通过。例如：会员

申请，们，反馈表，表等。这些功能都需要的保护，如果不加以防

护那么将会导致以下情况的出现：

大量的表单可能产生，不仅会影响的速度，还会加大站点管理员的工作

量，而且一些合法用户的请求，也可能会因此被。

电子邮件轰炸：一些功能可以发送电子邮件到一个任意的邮件地址。如果没有得到有

效的验证保护，那么者则可以利用程序，向特定的目标发送大量的邮件。

保护数据挖掘机器人：

某些包含大量数据的站点极易数据挖掘，因此它们也需要的保护。例

如：社交网络和搜索引擎。

为什么能被绕过？

被绕过，有以下两个：

设计问题

执行问题

在以下的内容，我将会带大家认识到这两个问题所在。以及如何解决这些问题，建立

更为安全的人机验证。

设计问题

设计问题则意味着本质上的脆弱性，但执行却不存在问题。以下演示将有助于

我们了解设计问题的真正，以及如何它：

设计问题＃1：

以下的示例中我们可以看到，这里的就是一道数题。而这里的问题就出在

页面的HTML源码上。

Script/tree/master/ArithmeticCAPTCHA你可以在上到该的源码：

如何？

在这种情况下者往往都会通过获取该页面的HTML源码，计算并提交HTTP响

应来。