ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全文章 → 图形验证码常见安全漏洞解析及设计规则

图形验证码常见安全漏洞解析及设计规则

时间:2018-09-29 00:02:09人气:作者:本站作者我要评论
       图形验证码常见安全漏洞解析及设计规则
今天,CESAFE将结合自己以往在安全测试方面的一些经验,简单的分享一下图形验证码相关的安全问题,要回答上面这个问题,我们需要先了解一些关于图形验证码的基本知识。

验证码是什么?

验证码(CAPTCHA)即“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自动区分计算机和人类的图灵测试)的缩写,是一种区分用户是计算机还是人的公共全自动程序。

简单概括如下:

验证码在网络投票、交友论坛、网上商城等业务中,经常用来防止恶意用户侵入、恶意灌水、刷票,爆破、撞库、接口滥用等问题,为防止客户端用程序进行自动识别,因此图片中通常要加上一些干扰象素,由用户肉眼识别其中的验证码信息。客户输入表单提交时,验证码也提交给网站服务器,只有验证成功,才能执行相应的操作,其在Web安全中有着重要的应用。
好了,废话不多说,为了回答我们最初的问题,我们必须要知道图形验证码在设计和使用中有哪些坑,哪些地方容易出问题。

列举一些在安全测试中发现的设计和使用上的安全问题供大家参考(欢迎大家补充,指正)

设计或使用方法不当:

0x01:图形验证码数值在返回包中返回前端(可通过自动化程序输入验证码,导致验证码无效,导致防护失效)0x02:图形验证码的值由前端生成,发送到后端形成图片0x03:图形验证码验证后不失效(成功或失败都应该失效),可以无限复用

0x04:单独验证图形验证码,正确返回1,错误返回0,而认证请求却不包含图形验证码(可以绕过前端验证)

0x05:万能图形验证码(测试环境为方便设置的万能验证码,上线后未关闭)

0x06:验证码参数值为空时不检测图形验证码

0x07:无验证码参数时(参数名和参数值都不存在)不检测图形验证码(一般是之前设计的时候没加图形验证码,后期添加图形验证码时保留了老接口)

0x08:验证码大小值由前端控制,后端无大小检测(生成超大图形验证码,造成内存耗尽,拒绝服务)

0x09:图形验证码过于简单(无扭曲,无干扰线导致,可自动化图像识别)

0x10:认证过程中,先验证账号密码,后验证图形验证码(逻辑顺序有误,验证码起不到防护作用)

0x11:验证码图片中数值不够随机,可预测导致可以猜解。

如何设计出一个相对安全的图形验证码呢?

设计规则如下:

1)验证码字符集合和长度应可配置,至少四位,不允许单独使用英文字符或数字。

2)验证码要能够置设置背景色、字符颜色、字符旋转、扭曲、字符粘连等,要添加干扰线,干扰线的颜色、尺寸和数量要可通过配置进行设定。

3)验证码生成过程中不仅要使用安全随机函数还要确保种子绝对随机的,保证每次生成验证码的唯一性和不可预测性,防止重放攻击。

4)针对一次请求生成的验证码只能用一次,用完立即过期。每次生成的验证码不允许跨会话和请求使用。

5)验证码内容不允许以任何形式输出到客户端包括验证码的MD5值、 Base64转码值等。
另外图形验证码使用上应注意:

6) 验证码参数和认证参数需要一起提交,到后端验证时要先验证验证码,正确后再进行后续认证。

7)后台系统中验证码的验证逻辑要先于口令的验证,只有通过验证码的验证后才能进行用户名、口令等其他身份信息的验证过程。

8)线上系统不应存在万能验证码,或不验证验证码内容的情况。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网