作家
登录
17滚动

小议验证码的安全性及如何绕过

作者: 来源: 2017-05-16 15:32:33 阅读 我要评论

weak-captcha-1-code.png

若何破解?

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/blob/master/GooglereCAPTCHA/weakcaptcha4.php

进击者只须要制造一个脚本即可将任何值发送给人机验证码,并且都将会被办事器所接收,因为无论你发送什么谜底,办事器都只会经由过程检查Google API发送的状况码是否为200 OK来作为断定根据。下图中,我们作为谜底发送的值是“InvalidAnswerOfCAPTCHA”

你可以在Github高低载到该应用代码:https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/CaptchaExploits

(2) 履行问题#2:

验证码存在于web页面,在用户提交后将被验证,但问题却出在了if和else一个简单的子句中。这个缺点是因为开辟人员将响应码写在了其它部分形成的。所以这里即使验证码谜底是缺点的,应用法度榜样仍将赐与用户积极的响应。

weak-captcha-2.png

weak-captcha-2-code.png

若何破解?

“InvalidAnswerOfCAPTCHA

像我们日常平凡最常碰到的,就是基于图片的验证码。这类图片验证码平日包含的,都是些易于用户辨认简单的验证信息。如下图所示。用户必须精确的辨认图像内的字符,并以此作为人机验证的谜底,方可经由过程验证码的人机测试。相反如不雅验证码填写缺点,那么验证码字符将会主动刷新并改换一组新的验证字符,直到用户可以或许填写精确的验证字符为止。

你可以在Github高低载到该应用代码:https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/CaptchaExploits

(3) 履行问题#3:

验证码存在于web页面,但在提交后未在办事器端进行验证。

weak-captcha-3.png

你可以在Github高低载到钙揭捉?证码的源码:

你可以在Github高低载到钙揭捉?证码的源码:

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/blob/master/GooglereCAPTCHA/weakcaptcha3.php

若何破解?

进击者只需经由过程输入缺点的验证码和随便率性电子邮件,就可以轻松地绕过它。

设计问题则意味着验证码本质上的脆弱性,但履行却不存在问题。以下演示将有助于我们懂得设计问题的┞锋正原因,以及若何破解它:

你可以在Github高低载到该应用代码:

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/CaptchaExploits

四、若何保护本身免受CAPTCHA进击?

其拭魅这个问题也很简单,大年夜家可以按照以下步调,来制造一个强大年夜的CAPTHCA功能:

https://www.google.com/recaptcha/intro/index.html 。API以JSON的输出情势答复请求,以及HTTP状况码。到如今为止,还没发明什愦问题 !!

设计:实施设计优胜的CAPTCHA筹划。大年夜以上示例中我们可以看到,大年夜多半我们本身设计的验证码都或多或少的存在一些问题。是以,我建议大年夜家尽可能的应用像Google如许的第三方CAPTCHA。

履行:在钠揭捉?择了具有优胜设计的人机辨认体系后,下一步是精确的履行。我们已经看到,尽管有一个设计优胜的CAPTCHA,然则如不雅不克不及精确履行,仍然可以被破解。如不雅你应用的是Google reCAPTCHA,请参照以下操作步调:

  • 以检查Google发送的JSON响应代替HTTP状况码检查。
  • 在if和else子句中实现精确的逻辑,区分有效和无效的谜底。
  • 不要泄漏你的私家CAPTCHA密钥。

若何保护本身免受CAPTCHA进击?

你可以大年夜这里下载安然的CAPTCHA代码:

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/tree/master/TenRepeatedCAPTCHA

https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script/blob/master/GooglereCAPTCHA/goodcaptcha.php

五、总结

在实际营业及临盆中,某些功能会请求有CAPTCHA。而不安然的CAPTCHA,将会导致敏感数据被窃取,认证进击,DOS用户甚至治理员等严重问题的产生。是以对于开辟人员和应用者而言,具有一个好的设计和实施的CAPTCHA至关重要!

所有脚本的Github链接:https://github.com/securelayer7/Captch-Bypass-Vulnerable-Script

 2/3   首页 上一页 1 2 3 下一页 尾页

  推荐阅读

  大变样:Firefox新一代UI “Photon”设计曝光

Mozilla 4月份曾宣布正在为即将宣布的 FireFox 57开辟一套全新的UI界面,并起名为Photon。这也是FireFox自2014年以来第一次对界面设计进行大年夜的调剂,FireFox 57将成为一个里程碑式的宣>>>详细阅读


本文标题:小议验证码的安全性及如何绕过

地址:http://www.17bianji.com/lsqh/35250.html

 1/2    1 

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

进入专栏
精彩导读
栏目ID=71的表不存在(操作类型=0)
科技快报
© 2013-2016 IT技术  京ICP备11016124号-4   

京公网安备 11011202000261号
网站介绍 合作联系 寻求报道 投稿指南 网站地图 XML地图