下面是我們安服技術人員給的從安全角度看,為什么Web登錄需要驗證碼?
因為你的WEB站有時會碰到客戶機惡意攻擊。其中一種很常見的攻擊手段就是身份欺騙,它通過在客戶端腳本寫入一些代碼,然后利用其客戶機在網站、論壇反復登陸,或者攻擊者創建一個HTML窗體,其窗體如果包含了你注冊窗體或發帖窗體等相同的字段,然后利用"http-post"傳輸數據到服務器,服務器會執行相應的創建帳戶,提交垃圾數據等操作。如果服務器本身不能有效驗證并拒絕此非法操作,它會很嚴重耗費其系統資源,降低網站性能甚至使程序崩潰。
下面引用3個常見的HTML攻擊舉例說明:
1、HTML語法暴露的賬戶安全問題
標準的HTML語法中,支持在form表單中使用<input></input>標簽來創建一個HTTP提交的屬性,現代的WEB登錄中,常見的是下面這樣的表單:
<formaction="http://localhost:8080/Application/login"method="POST">用戶名:<inputid="username"name="username"type="text"/>密碼:<inputid="password"name="password"type="password"/><buttontype="submit">登陸</button></form>
form表單會在提交請求時,會獲取form中input標簽存在name的屬性,作為HTTP請求的body中的參數傳遞給后臺,進行登錄校驗。
例如賬號是user1,密碼是123456,那么在提交登錄的時候會給后臺發送的HTTP請求如下(Chrome或者FireFox開發者工具捕獲,需開啟Preservelog):
可以發現即便password字段是黑點,但是本機仍以明文的形式截獲請求。
2、HTTP協議傳輸直接暴露用戶密碼字段
在網絡傳輸過程中,被嗅探到的話會直接危及用戶信息安全,以Fiddler或Wireshark為例,發現捕獲的HTTP報文中包含敏感信息:
而現在流行的判斷訪問WEB程序是合法用戶還是惡意操作的方式,就是采用一種叫“字符校驗”的技術,WEB網站像現在的動網論壇,他采用達到方法是為客戶提供一個包含隨即字符串的圖片,用戶必須讀取這些字符串,然后隨登陸窗體或者發帖窗體等用戶創建的窗體一起提交。
那么該怎么辦?有什么防護的辦法呢?這時候我們的安全研究人員就發明了驗證碼。具體發明史記介紹詳見我前幾篇文章的介紹。因為人的話,可以很容易讀出圖片中的數字,但如果是一段客戶端攻擊代碼,通過一般手段是很難識別驗證碼的這樣可以確保當前訪問是來自一個人而非機器和AI機器人。
驗證碼:就是將一串隨機產生的數字或符號,生成一幅圖片,圖片里加上一些干擾象素(防止OCR),由用戶肉眼識別其中的驗證碼信息,輸入表單提交網站驗證,驗證成功后才能使用某項功能。
典型應用場景:
網站安全:垃圾注冊、惡意登錄、惡意攻擊
數據安全:數據爬取、數據破壞、賬號盜用
運營安全:惡意刷單、虛假秒殺、虛假評論、占座、刷票
交易安全:虛假交易、惡意套現、盜卡支付
意義:現在網站為了防止用戶利用機器人自動注冊、登錄、灌水、刷票、薅羊毛等,都采用了驗證碼技術。
當下,隨著科技的發展,驗證碼在交互形式上也得到了很大的提升,越來越注重用戶體驗,比如頂象的智能無感驗證,推出了無需驗證即可判別使用者身份的驗證體系,其原理其實也非常簡單。風控引擎在用戶嘗試登陸或者做其他傳統需要驗證的操作行為前,就會對操作環境進行掃描,并對一些關鍵參數做分析,包括常用IP、地理位置、使用習慣、惡意特征、設備指紋等。基于大量模型和數據的分析,風控引擎便可以對用戶身份做出一個預先的判斷。如果風控引擎認為使用者是“好人”,便直接放行;如果判定為“機器”,則不予放行;如果存疑,便給出驗證碼滑一滑。
驗證碼能有效防止對某一個特定注冊用戶用特定程序暴力破解方式進行不斷的登陸嘗試,實際上用驗證碼是現在很多網站通行的方式(比如12306、各大銀行網上個人銀行登錄頁,BBS論壇等),雖然登陸麻煩一點,但是對網站還來說這個功能還是很有必要,也很重要。
