验证码安全志：AIGC+集成环境信息信息检测

目录

知己知彼，黑灰产破解验证码的过程

AIGC加持，防范黑灰产的破解

魔高一丈，黑灰产+AIGC突破常规验证码

双重防护，保障验证码安全

---

黑灰产经常采用批量撞库方式登录用户账号，然后进行违法违规操作。

黑灰产将各种方式窃取账号密码导入批量登录软件，登录软件自动尝试账号登录。邮箱服务器检测到异常登录请求，会下发验证码进行安全验证，但是黑灰产能够自动破解简单验证码，完成撞库登录过程。整个过程完全自动化操作，无需人工干预，就这样，用户的大批账号就被冒名登录了。

为了防止验证码被识别、破解、绕过，很多平台和服务在验证码加入干扰，比如采用了非常复杂的验证码：歪斜的字母汉字、复杂的图形、转瞬即变内容等。以12306为例，提供了多达接近600种图形验证码，再经过排列组合，总共有多达300000种。一次性输入准确的比例仅仅是8%，两次输入准确比例27%，三次以上输入准确的比例才勉强超过60%。

原则上验证码是越复杂越好，但是凡事都有张有弛。验证码的本质，是让操作者证明是人而不是机器人，而随着验证码越来越难，用户正常操作的门槛也越来越高。复杂的验证码确实能够降低黑灰产破解，却也增加用户识别难度，将用户也阻挡在外，导致用户纷纷吐槽。

![图片](https://img-
blog.csdnimg.cn/img_convert/6195cc894bc321f4c25a856cf76d9fc0.png)

知己知彼，黑灰产破解验证码的过程

要防止黑灰产破解验证码，必须了解其破解的过程。黑灰产破解验证码主要是基于验证资源的穷举以及识别，也就是通过抓取验证码图库的图片，然后进行标注，由此破解验证码。目前黑灰产运用目前最流行的人工智能技术训练，大大提高了识别验证码的速度。

以下是一个描述基于网络爬虫和图像识别技术的验证码破解过程的简要步骤：

第一步，制作网络爬虫工具，通过访问各个验证码技术平台，爬取验证码的图片素材。网络爬虫可以快速收集大量的验证码样本，为后续的模型训练和识别提供数据支持。

第二步，生成验证码图片素材的模型库。根据不同类型的验证码，如旋转、滑动、拼图等，生成相应的模型库。这些模型库包含有关验证码的特征信息，以便后续的验证码识别过程中进行比对。

第三步，识别验证码类型。在遇到需要破解的验证码时，程序迅速分析验证码的特征，确定其属于滑动、拼接、点选、旋转或计算等类型的验证码。这一步骤为后续的处理提供了方向和依据。

第四步，使用相似度算法检索之前构建的验证码模型库，快速定位到相似的图片。通过比对目标验证码与模型库中的样本，系统可以找到最相似的图片，并为后续操作提供参考。

![图片](https://img-
blog.csdnimg.cn/img_convert/051630b091bb7505bce2acc50d168c42.png)

第五步，模拟人类操作。根据验证码类型和识别结果，程序模拟人类的操作行为，进行旋转、滑动、选择、计算或拼接操作，将图片调整至目标角度。这一步骤需要模拟各种可能的验证码操作，以达到绕过验证码核验的目的。

第六步，欺骗验证码核验，获得通过凭证。通过前面几步的处理，系统成功绕过验证码的安全机制，并获得了通过验证的凭证。这使得攻击者可以继续访问受限资源或执行其他恶意操作。

![图片](https://img-
blog.csdnimg.cn/img_convert/9756c32ad0a1ebbf0666f59c47b6dadb.png)

AIGC加持，防范黑灰产的破解

验证码要做好防守，必须针对黑灰产破解的时效性和高效性特点展开。通过高频率的生产图片保证新的验证图片实时更新，从根源上杜绝打码平台拖库。

AIGC，全名“AI generated
content”，又称生成式AI，意为人工智能生成内容，具有文本续写，文字转图像、数字主持人等应用。其原理是利用人工智能技术中的自然语言处理、机器学习、深度学习等技术，对大量的语言数据进行分析、学习和模拟，从而实现对自然语言的理解和生成。

![图片](https://img-
blog.csdnimg.cn/img_convert/9476b29c7e623396a7eaceba0e25d4e3.png)

集成AIGC的顶象无感验证能够无限生产验证图片。通过AIGC能够文本描述快速生成无限量的图像素材，使得基于遍历图库的破解方式失效，大大增强验证码的破解难度。而且AIGC能够根据企业业务场景，生成个性化定制验证码图片。在拼图、旋转、滑动等验证方式下，如果无法得知预先的验证图片，就无法完成破解。

此外，利用AIGC，顶象无感验证更创造出一些对用户友好、机器识别难度较高的新型验证码。例如，常见的滑块验证码，由于为了保证有足够识别度，目标缺口的像素与周围的像素需要有一些差异，因而往往非常容易识别，进而轻易判断出滑块的目标位置，因而安全性并不高。利用AIGC，可以设计出没有缺口的滑块验证码，要判断出目标位置需要理解图像的语义，由此增加黑灰产的破解难度。

![图片](https://img-
blog.csdnimg.cn/img_convert/238a6eac390234cd3c343fb361647572.png)

魔高一丈，黑灰产+AIGC突破常规验证码

AIGC技术能够生成海量图片，且有一定随机性且不可逆，使攻击者打标训练成本可增加10倍以上，虽然大幅增加机器破解的难度。但是黑灰产也可以基于AI进行破解，只是成本增加。

基于AIGC，黑灰产不再需要采集验证码厂商的图库并打标，就能训练模型识别各种艺术字。

具体来说，黑灰产可以利用AIGC自动生成大量汉字对应的各种样式的艺术字，作为数据集训练模型，使该模型能够非常鲁棒地识别任何风格的艺术字。也许在不久的将来，艺术字验证码这种验证方式将完全失效。由此，进一步推动验证码企业提升验证方式的安全性和对抗性。

![图片](https://img-
blog.csdnimg.cn/img_convert/5e5d3a40eaaacd0eb1c833439c8e161e.png)

双重防护，保障验证码安全

除了AIGC的加持，顶象验证码基于验证环境信息进行防御，通过生产无穷的验证图片+对环境信息进行验证，双重保障验证码安全。

![图片](https://img-
blog.csdnimg.cn/img_convert/3af086ac382c9355fbcc8339b3ef7886.png)

首先，源源不断得新验证图片，极大增加了黑灰产的识别与破解成本。同时提升验证要素识别难度。基于深度学习和神经网络，生成一些难以被预测和重复的图片、元素，并在验证过程中加入时间戳或者随机数等动态变化的因素，增加破解的难度，有效抵御机器破解。

其次，集成实时流计算及场景策略结合机器学习训练的人机模型、历史数据的关联分析，通过图形算法和AI模型，对用户产生的行为轨迹数据进行机器学习建模，结合访问频率、地理位置、历史记录等多个维度信息，快速、准确得返回人机判定结果。在验证码的验证环节采集有辨识度的环境信息，配置规则和策略来，筛选出可能是黑灰产的请求进行二次验证或拦截。例如，判断完成验证时的验证环境信息和token上报时的验证环境信息是否一致，对多次恶意攻击的IP地址进行拦截，限制验证码输入的次数等。

验证码作为人机交互界面经常出现的关键要素，是身份核验、防范风险、数据反爬的重要组成部分，广泛应用网站、App上，在注册、登录、交易、交互等各类场景中发挥着巨大作用，具有真人识别、身份核验的功能，在保障账户安全方面也具有重要作用，由此也成为黑灰产攻克破解的重要目标。为了破解验证码，黑灰产利用各种技术和手段快速批量快速破解，以满足批量注册、批量登录、恶意盗取等不法操作的需要。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。