验证码攻防秘籍

已于 2022-03-19 17:06:51 修改
阅读量563 收藏 1
点赞数
分类专栏: summary 文章标签: java
于 2022-03-08 22:08:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wnw1234/article/details/123360774
版权

验证码介绍

验证码(CAPTCHA)是一种区分用户是计算机还是人的公共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码是现在很多网站通行的方式,我们利用比较简易的方式实现了这个功能。这个问题可以由计算机生成并评判,但是必须只有人类才能解答。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用户就可以被认为是人类。

验证码案例

https://blog.csdn.net/wnw1234/article/details/123342540?spm=1001.2014.3001.5501

验证码挑战

尝试使用开源的tess4j框架来对验证码图片进行OCR光学识别

1.先将生成验证码图片保存到本地磁盘

 2.在项目的pom文件添加tess4j依赖

3. 需要到tess4j的官方git仓库上下载各种语言的训练数据

下载地址:https://github.com/tesseract-ocr/tessdata

英文语言包:eng.traineddata

中文语言包:chi_sim.traineddata

测试案例

验证码安全升级

可以通过N条随机干扰线,添加噪点,改变图片形态都能让验证码图片变得更复杂,在不影响真人识别的前提下,有效降低破解程序的成功率.

但tess4j这样的程序对于不同语言的识别准确率,都是通过训练来提升的,这也意味不管的你的验证码变得多么复杂难看,只要有一定的规律,tess4j就可以用机器学习的方式,把它作为另一种新的语言来识别.从而提高识别成功率,实际上,验证码识别也是机器学习深度学习技术的一个非常热门的研究领域.这是个动态的攻防领域,所以验证码也需要有其他更多的技术来增加破解难度

手写表达式验证码

为了提高验证码的安全性,将原始的图片验证码改成表达式验证码就是一个很常用的手段,其实本质也就是将展现出来的图形与保存到session中的验证码文字进行区分.例如图形展示一个随机的计算式,而将计算式的结果保存到session中来进行验证

体验开源验证码 

介绍一些互联网上常用的开源验证码,dai大家对验证码的技术环境有个大体的了解.

1.jcaptcha体验  http://jcaptcha.sourceforge.net

2.Happy-Captcha体验 https://gitee.com/ramostear/Happy-Captcha

3.kcaptcha体验 https://gitee.com/baomidou/kaptcha-spring-boot-starter

4.滑块式验证码 https://gitee.com/LongbowEnterprise/SliderCaptcha

5.AJ-Captcha(实现滑块和点选汉字)  https://gitee.com/anji-plus/captcha?_from=gitee_search

商业验证码

商业验证码通常都是通过在前端定义更高级的人际交互操作,来达到更难被计算机程序模拟破解的目的.互联网的很多商业场景中,经常会采用一种或者多种验证码整合的方式来提高验证码安全性

1.极验验证码https://www.geetest.com

2.网易网盾https://dun.163.com/product/captcha

3.顶象科技https://www.dingxiang-inc.com/business/captcha

4.腾讯天御验证码https://cloud.tencent.com/product/captcha

悲欢唯谁懂
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
短信验证码的防攻击
爱昵容儿 的专栏
06-25 365
看到下面一个请求包,发个验证码附带了这么多的参数,那么肯定是有些问题滴!!一般比较典型的短信轰炸漏洞,要么是未作任何限制,要么是添加 +、空格等可以绕过最近在测试的时候,发现了一点新东西,利用请求中的其他参数也可以造成短信轰炸漏洞,比如说:场景对应图中的参数为type,不同的业务场景对应着不同的值,比如登陆、注册、修改密码、修改手机号等等,那么就可以暴力破解出 type 的值,不同场景发送验证码互不干扰语言。
DDOS学习+网络钓鱼+验证码攻击
weixin_55648772的博客
12-20 3282
Dos攻击 Dos(Denial of service)即拒绝服务。Dos攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地将攻击对象资源耗尽。
跳开验证码进行攻击
知码的世界
07-18 569
验证码就是每次访问页面或者进行某项操作时随机生成的图片,内容一般是数字和字母,也有更BT点的中文和问答题,这就需要访问者把图中的数字字母填到表单中提交,这样就有效地防止了暴力破解。验证码也用于防止恶意灌水、广告帖等。     溯雪是早年大名鼎鼎的黑客神器“刀光雪影”之一,其功能就是暴力破解表单,那时很是很流行的。但是后来有了验证码这个东东,几乎把溯雪推向了死路。但是真的完全是死路了吗?本文给你答
网络安全之短信验证码接口攻击,短信接口会被黑客调用,以攻击手机号为目的刷网站短信,如果短信验证码端口不做任何限制,不仅对用户造成骚扰,更会浪费你的短信余额,降低品牌形象,常见的防护手段,增加前端验证码
weixin_54048131的博客
05-28 370
短信接口会被黑客调用 以攻击手机号为目的刷网站短信 恶意刷取目标网站的短信费用 解决方法给移动打电话报套餐,或者跟中国电信和移动联通 解决方法 增加前端验证码 滑块点击等方式,对单个ip做出限制 防止攻击者同Ip下不同,超过最大阀值,将不予以返回短信 腾讯验证码等等
防攻击的基本方式-动态验证码
专注-享学课堂
02-10 969
网站受到持续的不明IP地址的恶意请求: 使用如下功能,并导致用户(不明手机账号)收到大量“垃圾”短信:::: 设计一个自动回发邮件,或者短信的验证码发送, 1、根据时间间隔控制 2、动态码验证
AI领域的人机识别对抗 千亿美金的验证码攻防
04-20
AI领域的人机识别对抗 千亿美金的验证码攻防,AI领域的人机识别对抗 千亿美金的验证码攻防
培训ppt-验证码的安全攻防原理.ppt
07-21
验证码的安全攻防原理培训
论文研究-验证码技术的攻防对策研究.pdf
07-22
针对验证码的本质特征、形式化定义、今后发展方向和研究重点等问题, 通过深入...重点探讨了动态验证码和隐性验证码(包括语义验证码), 特别针对验证码通用攻击的攻防对策, 提出了验证码领域的一些新思路和新研究方法。
验证码的识别与攻防——以电商网站防范羊毛党为例.pdf
07-09
验证码的识别与攻防——以电商网站防范羊毛党为例.pdf
黑客攻防指南
06-20
多因素认证(MFA)是一种增强安全性的方式,它要求用户提供除了密码之外的额外证明,如指纹、面部识别或短信验证码。 网络加密技术,如SSL/TLS,可以保护数据在传输过程中的安全。对于敏感数据,应使用加密存储,...
验证码攻击方案
04-03
未登录状态下防验证码攻击方案,PC、手机均通用。未登录状态包括注册、找回密码等功能
短信验证码接口被恶意攻击了该怎么办?
bonzson88的博客
02-01 454
用户请求验证码时,记录请求的IP和手机号码,并对发送频率做限制,例如每分钟/单个IP/单个手机号仅能请求一次。设置验证码模板的单日请求上限,设置一个合适的数值,这样每个手机号码单日超过这个上线的数量的验证码请求会被邦之信直接过滤。邦之信主动防御机制被触发后,将会自动设置合适的安全级别,防御恶意请求。所幸的是,邦之信有一系列的防范机制,帮助客户及时解决问题。前往邦之信 -> 短信-> 创建/管理 APPID页面,设置IP白名单,保护您的APPID不被非法劫持后滥用。请点击输入图片描述(最多18字)
短信验证码防止攻击
lonewolves的博客
12-13 369
短信验证码防止攻击
行为式验证码小侃,滑块验证码详解
Aldwin的博客
02-22 3496
验证码 行为式验证码 全自动区分计算机和人类的图灵测试 2002年,路易斯在卡内基梅隆第一次提出了CAPTCHA(验证码)这样一个程序概念。该程序是指,向请求的发起方提出问题,能正确回答的即是人类,反之则为机器。 对于验证码,人们有一个理想预期,就是假设:提出的问题要容易被人类解答,并且让机器无法解答。但是随着技术不断的发展,尤其是图像识别技术,曾今机器无法解决的问题,一个一个被攻克,所以验证码技术在攻防双方的较量中一直在快速发展。 先看下传统验证码,这张图可能暴露了你的网龄 这是来自xx安全业务的行
一文带你看懂验证码攻防技术那些事儿
顶象科技的技术文章
01-17 597
验证码技术解析直播回顾
验证码绕过暴力破解
最新发布
若谷的博客
07-16 1075
本实验中我们针对网站中的登录页面进行暴力破解,通过使用 Burpsuite 工具对网页进行暴力破解,体会学习暴力破解的基本过程,以及学习如何使用Burpsuite 工具。
Random实现验证码的简单示例
程序员云帆哥的博客
05-14 4760
验证码CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机还是人的公共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,
短信验证码轰炸解决方案二(防止海外ip、限制ip、限制手机号次数解决)
php-yyds
12-05 1998
2. 访问次数限制使用了基于Session的计数器,这意味着计数器是与用户的Session绑定的。3. 检查海外IP:通过调用腾讯地图API,可以判断访问者的IP是否属于中国境内,从而禁止海外IP的访问。2. 访问次数限制:对于同一个IP地址或手机号,可以限制其访问次数,避免频繁访问或滥用。1. 黑名单功能仅针对预先设置的IP地址和手机号,无法应对新出现的恶意IP或手机号。4. 对于同一个手机号,限制访问次数,如果超过限制则终止访问。3. 对于同一个IP,限制访问次数,如果超过限制则终止访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值