在线验证码的安全隐患：分析与防范

目录

在线验证码的安全隐患：分析与防范

一、在线验证码简介

二、攻击者视角

（一）攻击原理及方法

（二）攻击代码示例（以模拟滑块验证码破解思路为例）

三、防御者视角

（一）防御思路

（二）具体防御措施及代码示例

1. 双因子验证

2. 识别浏览器 UA 标识

3. 限制单 IP 请求次数

4. 验证码时效性和唯一性设置

---

一、在线验证码简介

验证码（CAPTCHA）是 “全自动区分计算机和人类的图灵测试” 的缩写，是一种区分用户是计算机还是人的公共全自动程序。它在网络安全中起着至关重要的作用，能够有效防止数据爬取、防黄牛刷单、防垃圾注册、防恶意登录、防支付欺诈、防投票作弊等。

其实现原理通常是用户在客户端（浏览器）中输入字符，服务器端进行校验。校验过程是判断当前输入的字符是否与服务器端生成的图片（或其他形式）的字符相同。在历史发展中，验证码经历了多个版本的演变：

• 验证码 1.0 版本：纯数字或者纯英文（4 - 5）位字符验证。
• 验证码 1.5 版本：在纯数字与英文的基础上，增加了计算运算符号。
• 验证码 2.0 版本：在纯数字与英文基础上，增加了运算功能，又增加了干扰线、干扰框，提高了识别难度。
• 验证码 3.0 版本：使用当前互联网大家熟知的图片对比方式，如 12306 使用的类似点触科技的一套识图功能，还有比较流行的验证码滑块验证。

二、攻击者视角

（一）攻击原理及方法

• 早期版本（1.0 - 2.0）
  对于早期版本的验证码，攻击者可以通过将验证码图片保存到本地，拆分图片中的字符，屏蔽干扰点与干扰线，最终识别图片中的单个字符。这种方法利用了早期验证码结构相对简单、干扰因素容易处理的特点。
• 3.0 版本及相关复杂验证码
  • 对于接入第三方算法的 3.0 版本验证码，攻击者可以尝试破解第三方的算法再模拟算法。例如，如果同一 IP 多次提交被识别为恶意行为，攻击者可能通过分析多次提交的反馈信息，寻找算法规律，从而破解验证码。
  • 对于图片对比类验证码（如拼图验证码），以极验为例，由于其验证码底图相同，只是缺失的块不同，攻击者可以通过注册极验 API 收集全部底图做自动化对比来破解。虽然底图数量可能会增加，但这种方法在原理上仍然可行。
  • 对于滑块验证码，攻击者可以利用机器学习模拟人滑动验证码的行为。通过学习一百组不同的真人滑动验证的例子，分析人在滑动过程中的抖动位置、匀速区间和平均速度等信息，然后在平均速度区间取随机值进行破解。

（二）攻击代码示例（以模拟滑块验证码破解思路为例）

以下是一个简单的 Java 代码示例，用于模拟滑块验证码破解过程中对滑动数据的分析（这里仅为概念性示例，实际情况要复杂得多）。

import java.util.ArrayList;
import java.util.List;

public class SliderCaptchaCrackSimulation {
    public static void main(String[] args) {
        // 模拟收集的真人滑动数据
        List<SliderData> realData = new ArrayList<>();
        realData.add(new SliderData(100, 200, 500, true, 300)); // 示例数据，分别表示起始位置x、起始位置y、结束位置x、是否有抖动、滑动时间
        realData.add(new SliderData(120, 210, 520, false, 280));

        // 分析数据，这里简单计算平均起始位置x和平均滑动时间
        int totalStartX = 0;
        int totalTime = 0;
        for (SliderData data : realData) {
            totalStartX += data.getStartX();
            totalTime += data.getSlideTime();
        }
        int averageStartX = totalStartX / realData.size();
        int averageTime = totalTime / realData.size();

        // 模拟破解，这里使用平均起始位置x和平均滑动时间生成一个破解尝试
        SliderData crackAttempt = new SliderData(averageStartX, 200, 500, false, averageTime);
        System.out.println("模拟破解尝试：起始位置x = " + crackAttempt.getStartX() + ", 滑动时间 = " + crackAttempt.getSlideTime());
    }
}

class SliderData {
    private int startX;
    private int startY;
    private int endX;
    private boolean hasJitter;
    private int slideTime;

    public SliderData(int startX, int startY, int endX, boolean hasJitter, int slideTime) {
        this.startX = startX;
        this.startY = startY;
        this.endX = endX;
        this.hasJitter = hasJitter;
        this.slideTime = slideTime;
    }

    public int getStartX() {
        return startX;
    }

    public int getSlideTime() {
        return slideTime;
    }
}

三、防御者视角

（一）防御思路

为了应对验证码可能被破解的风险，防御者需要从多个方面采取措施，包括增强验证机制的复杂性、限制异常行为、提高验证码的时效性和唯一性等。

（二）具体防御措施及代码示例

1. 双因子验证

• 原理及应用
  双因子验证是一种常见的防御手段，除了单纯的验证码和客户的密码，还检测是否为常用设备等多种因素集成的验证。例如银行使用的输入密码 + 短信验证码的方式。这种方法通过增加验证的维度，提高了攻击者破解的难度。
• Java 代码示例（模拟双因子验证中的设备检测部分）
  以下是一个简单的 Java 代码示例，用于模拟检测设备是否为常用设备（这里仅为概念性示例，实际的设备检测要复杂得多）。

import java.util.HashMap;
import java.util.Map;

public class TwoFactorAuthDeviceCheck {
    private static Map<String, Integer> deviceUsageMap = new HashMap<>();

    public static boolean isDeviceUsedFrequently(String deviceId) {
        // 如果设备ID在记录中，且使用次数超过一定阈值（这里设为3次），则认为是常用设备
        if (deviceUsageMap.containsKey(deviceId) && deviceUsageMap.get(deviceId) > 3) {
            return true;
        }
        return false;
    }

    public static void recordDeviceUsage(String deviceId) {
        if (deviceUsageMap.containsKey(deviceId)) {
            int usageCount = deviceUsageMap.get(deviceId);
            deviceUsageMap.put(deviceId, usageCount + 1);
        } else {
            deviceUsageMap.put(deviceId, 1);
        }
    }
}

2. 识别浏览器 UA 标识

• 原理及应用
  通过识别浏览器的 UA 标识，如果发现不是浏览器，则不予通过。这可以防止一些自动化工具通过非浏览器方式绕过验证码。在 Java Web 应用中，可以在服务器端获取请求的 UA 标识并进行判断。
• Java 代码示例（模拟获取和判断 UA 标识）

import javax.servlet.http.HttpServletRequest;

public class UAIdentifierCheck {
    public static boolean isBrowser(HttpServletRequest request) {
        String ua = request.getHeader("User-Agent");
        // 这里可以根据实际情况设置更准确的判断条件，这里简单判断是否包含常见浏览器关键字
        return ua!= null && (ua.contains("Chrome") || ua.contains("Firefox") || ua.contains("Safari") || ua.contains("IE"));
    }
}

3. 限制单 IP 请求次数

• 原理及应用
  增加单 IP 请求次数限制，发现单一 IP 请求次数过多，会封 IP 等情况。这可以防止攻击者通过大量请求尝试破解验证码。在 Java 中，可以使用一些缓存机制来记录 IP 的请求次数。
• Java 代码示例（模拟 IP 请求次数限制）

import java.util.HashMap;
import java.util.Map;

public class IPRequestLimit {
    private static Map<String, Integer> ipRequestCountMap = new HashMap<>();

    public static boolean isIPRequestLimitExceeded(String ip) {
        // 如果IP在记录中，且请求次数超过一定阈值（这里设为10次），则认为请求次数过多
        if (ipRequestCountMap.containsKey(ip) && ipRequestCountMap.get(ip) > 10) {
            return true;
        }
        return false;
}

    public static void recordIPRequestCount(String ip) {
        if (ipRequestCountMap.containsKey(ip)) {
            int count = ipRequestCountMap.get(ip);
            ipRequestCountMap.put(ip, count + 1);
        } else {
            ipRequestCountMap.put(ip, 1);
        }
}

4. 验证码时效性和唯一性设置

• 原理及应用
  针对验证码过期的问题以及一个验证码可多次使用的问题，企业可以在后端加入限制。例如，一个验证码只允许尝试 3 次，3 次错误后就换其他的验证码，并且设置合理的短信验证码过期时间。这可以防止攻击者通过多次尝试破解验证码，以及利用同一个验证码进行撞库或爆破等攻击。
• Java 代码示例（模拟验证码尝试次数限制）

public class CaptchaLimit {
    private static int captchaTrialCount = 0;

    public static boolean isCaptchaLimitExceeded() {
        // 如果验证码尝试次数超过3次，则认为超过限制
        return captchaTrialCount > 3;
    }

    public static void incrementCaptchaTrialCount() {
        captchaTrialCount++;
    }

    public static void resetCaptchaTrialCount() {
        captchaTrialCount = 0;
    }
}

在线验证码在网络安全中扮演着重要的角色，但也面临着各种安全隐患。通过从攻击者和防御者两个角度的分析，我们可以更好地理解这些问题，并采取有效的措施来提高验证码的安全性。在实际应用中，需要综合考虑各种因素，不断优化验证码的设计和验证机制。