验证码安全方式对比

最新推荐文章于 2023-11-21 08:30:00 发布
最新推荐文章于 2023-11-21 08:30:00 发布
阅读量991 收藏 2
点赞数
分类专栏: shell & pytho &ansible自动化运维平台 文章标签: 验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ronon77/article/details/84884756
版权
本文探讨了不同类型的验证码,包括图形、短信、语音和滑动验证码的安全性及其潜在漏洞。针对短信验证码,列举了接口无频次限制、验证码明文回显和篡改返回包等问题,并提出加固方案。此外,还分析了语音验证码在防刷单和用户体验上的优势,以及滑动验证码的自动化破解方法。最后,强调了验证码设计应兼顾安全与用户体验,提倡使用多因素验证策略。
摘要由CSDN通过智能技术生成

        

目录

0×01. 图形验证码  

0×02. 短信验证码

0×03. 语音验证码

0×04. 滑动验证码

0×05. 总结

备注:无论使用哪种验证码,只要开发不当都可能存在安全漏洞,为了减少文章重复内容,只在短信验证码中讲解漏洞以及对应加固方案,在语音验证码中讲解风控预防措施。

0×01 图形验证码

图形验证码是出现最早也是使用最为广泛的验证码没有之一,从最早的简单验证码到现在各种五花八门的验证码,为了防止被识别有加噪点的,有加干扰线的,有加各种背景的,有加逻辑题的…

之所以会有越来越恶心的验证码主要是防止验证码被机器识别,所设计的验证码难度也在不断上升,相比较来看下面两张图就知道为什么会这么设计了。

一般识别流程:

tuxing_01.png

一般验证码加固方法:

tuxing_02.png

随着验证码难度的提高识别的成本也随即提高,为了进行识别测试,我分别收集了四家不同类型互联网公司的验证码,情况如下:

某招聘网站验证码 – 字母周围有噪点,字体扭曲

tupian_lagou_01.pngtupian_lagou_02.pngtupian_lagou_03.png

某电商网站验证码 – 不同样式,字母阴影,字母粘连,背景色干扰

tupian_jd_01.pngtupian_jd_02.pngtupian_jd_03.png

最低0.47元/天 解锁文章
ronon77
关注
专栏目录
安全开发之验证码安全
XZ85201的博客
05-22 1663
验证码:是一种校验区分用户是计算机还是人的公共全自动程序。 作用:防止刷票、论坛灌水、刷页、防止黑客恶意破解密码、盗取用户数据和防止恶意注册登录等等
验证码安全
yitian_66的博客
05-31 5018
验证码安全问题,是关于部门代码优化时,安全测试部门提出的问题。由于之前没注意过这个问题,所以在此记录一下。改进之前项目流程大致如图改进后如图:...
web验证码安全
weixin_41524915的博客
11-08 1037
  【Web安全】浅谈Web安全验证码  11 months ago  绿盟科技  阅读: 2,445 2018年春运即将拉开帷幕。春运又称“年度全球最大规模的人口流动”,是一部“人民的斗争史”,起初只是与黄牛斗智斗勇,后来为了整治黄牛12306不断升级验证码,于是大家开始了与验证码斗智斗勇。那么这种验证码是否是必须的?且看小编对Web安全验证码的解读。 为防止服务器端的资源被客户...
要想破解验证码,就得从了解开始!
weixin_40794177的博客
02-23 234
最近在研究验证码安全,本文就来介绍四种流行的验证码(滑动拼图、文字点选、语序点选、空间推理),写这篇文章的出发点并非是想绕过或破解验证码,而是根据自身业务情况来选择对应的验证码类型。
图片验证及短信验证
老师好,我是安同学
07-07 2080
图片验证及短信校验 1. 图片验证码 ​ 这种图片验证方式是我们最常见的形式,它可以有效的防范恶意攻击者采用恶意工具,调用“动态验证码短信获取”接口进行动态短信发送, 导致接入用户短信被刷,造成账号余额损失。同时这种动态发送方式会朝许多无关的手机用户,发送很多验证码短信,导致手机用户被骚扰,甚至引起用户投诉。这种恶意攻击究其原因是攻击者可以自动对接口进行大量调用。 如果网站在用户进行“动态验证码短信发送” 操作前,要求用户输入图片验证码,确认用户是真实有效后,服务器端再发送动态短信到用户手机上。这一种
前端安全中关于验证码的防护详解
Spontaneous_0的博客
02-15 414
前端安全中关于验证码的防护详解
php高安全验证码生成类
05-02
- 用户在表单提交时,会将输入的验证码与服务器保存的值进行比较,一致则验证通过,否则提示错误。 5. **readme.md文件**: 这个文件通常包含项目的说明、使用方法、安装步骤、注意事项等内容。对于这个验证码...
安全校验Session验证码并避免绕开验证码攻击
10-28
然而,如描述中指出,简单的比较方式存在一个问题。如果攻击者直接构造一个包含验证码字段的表单,绕过实际生成验证码的页面,然后提交这个表单,服务器端的Session可能尚未创建或未被填充验证码。在这种情况下,...
Python3.7实现验证码登录方式代码实例
09-17
在Python编程中,验证码是一种常见的安全机制,用于验证用户身份,防止恶意自动化脚本或机器人进行非法操作。本文将详细讲解如何使用Python3.7来实现一个简单的基于字母和数字的验证码登录系统。 首先,我们需要...
验证码(JAVA实现)
07-07
验证码(JAVA实现)验证码(JAVA实现)验证码(JAVA实现)验证码(JAVA实现)
JS 验证码功能的三种实现方式
10-17
JS验证码功能的实现方式在网页开发中至关重要,它可以有效防止恶意自动化操作,确保用户身份的安全性。本文将详细介绍三种常见的验证码实现方式:数字短信验证码、图形验证码以及滑动验证码。 一、数字短信验证码 ...
验证码常见安全问题与测试方法汇总
最新发布
明光札记
11-21 886
系统使用验证码主要是意图一般有两个个目的,即辅助身份验证(短信或邮箱验证码)和防止攻击者利用自动化脚本恶意攻击网站(数字,图片,视频,行为式等验证码)。
几种验证码方式对比
weixin_34355559的博客
08-07 265
今天要做一个安全性比较高的验证码,因为最近网站一直被人发垃圾贴。 方案一:以前公司的验证码方案非常原始,就是使用的img.src = verifycode.aspx?code=4321这样来做,4321就是图片里的数字,这样做很无赖,因为编辑要求这个验证码的验证工作在客户端就能做了,所以就直接把code写在了客户端以明文形式存在。这种形式随便哪个会写正则的人都能写出个机器人来发垃圾贴。 方案二...
java中如何最简单的生成四位数验证码,并与键盘录入的数字比对
Snowclear_的博客
04-06 2013
package Demo; import java.util.Scanner; public class Demo { public static void main(String[] args) { Scanner sc = new Scanner(System.in); int random = (int)(Math.random()*10000); System.out.println("请输入注册验证码:"+random); int myRandom = sc.nextInt().
图像验证码识别(一)——去除噪点
热门推荐
jiaowozidaren的博客
11-05 1万+
一、8邻域降噪先介绍第一种方法,这种方法类似均值滤波,不过对于每个pixel,不是取其周围像素的灰度平均值,而是统计其周围像素点的灰度值为0或255的个数。从前面经过二值化处理可知,如果一个pixel是验证码或者干扰因素的一部分,那么这个pixel在二值化结果中其灰度值一定是0,即黑色;如果一个pixel是背景,则其灰度值应该是255是白色。因此对于孤立的噪点,其周围应该都是白色,或者大多数点都是白
验证码识别的基本思路及方法
yanick技术博客
02-09 3626
 投票软件比较有技术含量的部分就在验证码识别。为防止投票作弊,很多投票网站都会加随机验证码,输入验证码后才能投票。但是加了验证码是否就能万无一失呢,也不尽然。虽然不是所有验证码都能识别(如QQ的变形汉字验证码是不太可能用软件识别的,个人觉得),但还是有很多验证码可以用软件来识别的。下面以天涯博客里的评论验证码为例,说明验证码识别的基本思路和方法:第一步、获取验证码图片C#可以用HttpWe
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值