防止验证码防被hack的注意事项

最新推荐文章于 2023-06-03 09:33:46 发布
最新推荐文章于 2023-06-03 09:33:46 发布
阅读量3.2k 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012684933/article/details/19194191
版权

1. 当不输入验证码时,会不会作为输入正确处理


2. 验证码内容是否包含在了页面内容或者包含在了http字段中,例如cookie


3. 


4. 当验证码只是由有限的几个字符组成,那么可以穷举所有的验证码图片的md5值,然后建立一个验证码图片值和验证码图片md5值的映射,攻击者攻击的时候,会得到验证码图片,然后计算出这个验证码图片的md5值,再从映射表里面找到对应的图片值,用这个值提交表单,绕过验证码,实现攻击


5.  脚本调用Tesseract工具图片识别出验证码,然后提交。但是为了防止图片识别,往往识别码图片会有背景颜色,这个可以通过RMagick module(ruby脚本)的image类的threshhold函数进行图片净化,提高识别率. 识别码的字符形状很可能被扭曲,以防止识别,这个可以通过RMagick module(ruby脚本)的image类的implode来还原字符,便于清晰阅读,具体代码如下:

require 'RMagick'
image = Magick::Image.read("current8.png").first
image = image.implode(IMPLODE)
image = image.threshold(THRESHOLD)
image.write("current8.png")


6. 现在很多验证码图片需要简单的运算,对于这种验证码绕过,建议使用上面第五步的方法处理后读取到验证码图片内容,然后用脚本编写一个解析器即可






heayin123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次Linux服务器被hack的过程分析
01-31
最近遇到一个服务器被hack的问题,服务器变成了肉机,不断尝试破解其他机器的帐号。下面我们通过分析黑客在服务器上留下的工具,了解入门的hack方法、学习相应的范措施。hacker登入一台被入侵的服务器,通常首先...
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现...
防止大量盗刷攻击注册图形验证码+redis缓存接口开发
u011313034的专栏
06-03 274
使用node开发验证码接口
java web 停止_java-如何停止对Web API的hack / DOS攻击
weixin_30686891的博客
02-24 186
防止暴力攻击:有大量工具和策略可用来帮助您完成此任务,要使用哪种工具和策略完全取决于您的服务器实施和要求。如果不使用火墙,IDS或其他网络控制工具,则无法真正阻止DDOS从拒绝向应用程序提供服务。 但是,您可以修改您的应用程序,以使暴力攻击更加困难。执行此操作的标准方法是实施锁定或逐步延迟。 如果IP登录N次失败,则锁定将阻止IP在X分钟内发出登录请求。 渐进式延迟为处理每个错误的登录请求增加了...
Java场景面试题:短信验证码接口被狂刷,怎么办?
Tom弹架构
02-23 1720
请问短信验证码接口被狂刷,搞得服务都快要崩溃了,我该怎么办?
HACK】第二阶段 Web安全篇2——注入漏洞
weixin_42324313的博客
10-29 785
注入漏洞 0x01 SQL注入原理 1. 原因 语言分类:解释型语言和编译型语言 在解释型语言中,如果程序与用户进行交互,用户可以构造特殊输入,从而可能存在恶意行为的代码 例如,在交互中,用户的输入拼接到SQL语句中,执行了与原定计划不同的行为 前提: 用户可控输入 输入内容与数据库交互 2.登陆案例 登陆SQL语句: select * from admin where username=‘用...
常见网络攻击方式介绍及短信攻击策略的后端实现
weixin_41910244的博客
06-01 2532
大家好,今天给大家分享一下:几种常见的网络攻击方式的介绍以及短信攻击策略的后端实现。 一、背景介绍 有人的地方就有江湖,有数据交互的地方,就存在入侵风险。 只有知己知彼,才能百战不殆。我们学习相关知识不是为了去攻击别人的服务器,只是为了范于未然。 攻击的种类多种多样:SQL注入,旁注,XSS跨站,COOKIE欺骗,DDOS,0day 漏洞,社会工程学 等等等等。 二、知识剖析 1....
GitHack_githack_
10-03
githack dddd 用于git !
GitHack-master.rar
最新发布
01-06
4. **Git安全**:GitHack项目可能涉及到Git的安全方面,比如如何保护仓库免受恶意代码注入、如何设置访问权限、理解Git的签名机制以及如何防止敏感信息泄露。 5. **Git漏洞利用与护**:可能包含了关于已知Git漏洞...
防止攻击,所有的前台输入都需要后台进行校验
lmqwudi的专栏
06-25 1530
防止攻击,所有的前台输入都需要后台进行校验,例如为了防止xss攻击,
JAVA后端防止XSS攻击(SQL注入、HTML、SCRIPT)基础方法
Codeyi的博客
09-11 1万+
今天在工作中发现自己开发的系统存在XSS漏洞,特写此文章记录解决方案,话不多说截止开车。 防止XSS攻击我们需要做的除了在硬件层面(火墙、IP白名单)验证外,后端代码也需要做相应的处理,最简单直接的方式添加Filter过滤器。 /** * @Project : codeyi-web * @Package Name : com.codeyi.common.xss * @Company *...
前端中的hack是什么意思?常见的hack技术以及以及hack技术的利弊
热门推荐
Clara_G的博客
02-20 1万+
前端中的hack,很多人的回答如下: 由于不同的浏览器,比如Internet Explorer 6,Internet Explorer 7,Mozilla Firefox等,对CSS的解析认识不一样,因此会导致生成的页面效果不一样,得不到我们所需要的页面效果。 这个时候我们就需要针对不同的浏览器去写不同的CSS,让它能够同时兼容不同的浏览器,能在不同的浏览器中也能得到我们想要的页面效果 总之....
(后端)十种网络攻击行为介绍 您能顶住几个?(转)
weixin_30692143的博客
02-08 888
转自脚本之家: 近几年,互联网的应用呈现出一种爆发增长的态势,网速越来越快,能够遍寻的软件越来越多,初级黑客凭借一些入门的教程和软件就能发起简单的攻击;另一方面,电脑的价格持续下降,企业内部的终端数量也在逐步增加,更多的资源,更复杂的网络使得IT运维人员在管控内网时心力交瘁,面对这些内忧外患,我们不得不重新审视网络安全问题。下面,我们将介绍一些攻击行为案例,对于这些行为不知您是否遇到过?您的网...
前后端分离技术之加签,验签,篡改
ilovexiaou的博客
11-29 4217
上一篇讲解了加密解密,这次来个加签验签,实际项目里,我们采用的是react 和nodejs 来进行加签验签,用的jsrsasign库,下面贴点核心代码 react加签 nodejs验签 实际应用在nodejs层可以将时间戳和sign签名验证通过剔除掉,所以对后端就是无感的。 下面来介绍下客户端见加签验签,前面的代码也有,以java为例 import org.apache.c...
后端安全验证过程
weixin_34096182的博客
03-16 237
目标:提供一个接口给第三方服务使用,但因为第三方服务没有用户账号这东西,所以需要进行安全访问控制(Java实现) 例如:http://XXXXX?nonce=XXXX?&timestamp=XXXX&signature=XXXX (请求参数在POST里面) 步骤: 1.在filter中获取参数,验证是第三方服务调用    获取nonce、signature、timestam...
后端为什么要校验
weixin_30810583的博客
04-01 824
后端,为什么要进行校验? 1.“后端进行参数校验,是防止别人通过接口乱刷服务”。反正我是信第二种说法的,如果一些不安好心的人,通过接口刷我们的服务,随便哪个参数我们都允许填入,会导致数据库中导致大量的脏数据、风险。如果注入的是病毒怎么办?所以,后端是要进行参数校验的。 怎么进行后端参数校验? 我目前也是了解到了两种做法。 1、通过注解的方法,在实体上加注解。通过工具,当客户端传入参数的时候...
短信刷的一个小方案
zhaoliu1990的博客
11-22 2234
最近有同事负责的项目短信验证码的的接口被人家刷爆了,突然想起了以前我手上的项目也被刷过,现在谈谈处理方法: 1.首先要知道人家从哪个接口进行的刷短信,这个可以到服务器看请求日志,也可以在短信的过程中写些相应的参数记录下接口来源 2.设置图片验证码,这个是成本最低的做法,太简单也不行,弄个稍微复杂些的背景 3.重复请求验证设置,在每次发送时在数据库记录时间戳,可以设置再几分钟内再次请求的这种直接
google hack
12-05
Google Hack是指利用Google搜索引擎的高级搜索技巧和语法,来获取一些通常不易被发现的信息或者漏洞。这些技巧和语法可以帮助用户更加精确地搜索到自己需要的信息,但同时也可能会被黑客用来搜索一些敏感信息,从而进行攻击。以下是一些常用的Google Hack语法: 1. site:限制搜索结果为某个特定网站内的页面 例如:site:example.com 2. filetype:限制搜索结果为某种特定类型的文件 例如:filetype:pdf 3. intitle:限制搜索结果为包含某个特定关键词的页面标题 例如:intitle:"login page" 4. inurl:限制搜索结果为包含某个特定关键词的URL 例如:inurl:admin 5. link:限制搜索结果为包含某个特定URL的页面 例如:link:example.com 需要注意的是,Google Hack虽然可以帮助用户更加精确地搜索到自己需要的信息,但同时也可能会被黑客用来搜索一些敏感信息,从而进行攻击。因此,在使用Google Hack时,一定要注意自己的搜索行为,不要违反相关法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值