[8期]浅谈当代安全验证问题
Posted sec875
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[8期]浅谈当代安全验证问题相关的知识,希望对你有一定的参考价值。
用户名错误会提示你,而不进行密码和验证码的验证(未重新执行验证码脚本)
错误的玩法:验证用户名-验证密码-验证验证码
正确的玩法:验证验证码-刷新验证码-验证用户名-验证密码
无论后端验证码强度有多高,前端沦陷都没用 【还没有验证验证码,页面就跳转提示你账号密码错误】
语音播报验证码 调用语音识别API应对
滑动验证码对付打码平台,简单的机器学习对付滑动验证码 【按键精灵,基于机器学习的思维】
存在静态底图,通过css在前端产生动态效果,在前端JS里就能看到原理
在前端:安全的登陆点只有一种,需满足两个条件
1.无论用户名还是密码错误,全部都会重新执行验证码脚本(不包括本页面JS验证)
2.在本页面加载(不经过30x跳转)
3.宁可速度慢也不能舍去安全
在后端:使用智能waf机制,有效防御爆破(撞库)情况
把有用的核心东西放在后端
人工智能waf:一个IP或者多个IP,数据包里只有一个密码在改变,它会觉得你在爆破。
反人工智能:多个账号同时入手,同一时间段验证同一账号的次数设置到安全次数以内。
12306的验证算法,的确是国内顶尖的算法了。给一个名称,从图片引擎里面调用一个图片,判断哪个图片有。 【识别所有的图片大概可以破解,难度很大,有时人都识别不了】
最后,聊聊知识源的出处:很多验证算法,只要学过算法的,反一下算法来破解就可以了,比如ORC算法。 【提出这个是在强调,不要不学算法的知识】
以上是关于[8期]浅谈当代安全验证问题的主要内容,如果未能解决你的问题,请参考以下文章