简介
互联网业务的飞速发展,日渐渗透人类的生活,对经济、文化、社会产生巨大的影响,同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙,互联网业务安全也有其基础安全设施--图片验证码和短信验证码。在互联网业务中,广泛使用图形验证码用于区分人类和机器,使用短信验证码过滤低价值用户及提供二次校验功能。
作为互联网业务的基础安全设施,图片验证码和短信验证也面临众多的挑战。此前我们通过《验证码的前世今生(前世篇)》和《验证码的前世今生(今生篇)》了解了验证码的发展及演变,原理及优缺点。今天本文将带你走近互联网业务眼前的威胁——图片打码平台和短信打码平台。我们以如下两个场景简单说明下普通打码平台以及手机打码平台:
场景一:批量登陆12306网站,并进行购买行为,但验证码不能自动识别。
12306的验证码比较复杂,程序较难识别。这时候就出现了普通验证码的打码平台,程序将验证码传给打码平台的识别接口,打码平台将验证码发给后端的“佣工”进行识别,并获取识别结果。这样基于此类的人工打码平台,即可实现程序的自动化。
场景二:注册某购物平台,但其需要填写手机号和收到的验证码才可注册,如何进行批量机器注册?
这时候就出现了手机打码平台,该平台提供大量的手机号,并能够发送和接收短信。这样只需调用手机打码平台相关接口,获取手机号并获取短信内容即可进行批量注册。
最后我们将会简单的阐述面对这些威胁新的解决之道。
一、普通打码平台
一)介绍
现在很多简单的字符验证码已经不能够有效阻挡机器行为,使用简单的OCR识别工具即可进行识别,稍微复杂的可以结合机器学习等进行高准确率的识别。
普通的字符验证码很容易被识别,因而又产生了一些较复杂的验证码,比如如下一些较难通过机器进行识别的。
所以若想进行恶意注册或批量的机器行为则需要绕过此类的高难度验证码。针对这种需求,人工打码平台就产生了,其通过组织真实的人来进行识别,并提交验证结果。
二)运行流程图
说明:比如现在羊毛党要去某网站刷活动优惠券,但该网站有较复杂的图像验证码。通常羊毛党会