[8期]浅谈当代安全验证问题

Posted sec875

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[8期]浅谈当代安全验证问题相关的知识,希望对你有一定的参考价值。

用户名错误会提示你,而不进行密码和验证码的验证(未重新执行验证码脚本)

错误的玩法:验证用户名-验证密码-验证验证码

正确的玩法:验证验证码-刷新验证码-验证用户名-验证密码

无论后端验证码强度有多高,前端沦陷都没用   【还没有验证验证码,页面就跳转提示你账号密码错误】

语音播报验证码     调用语音识别API应对

滑动验证码对付打码平台,简单的机器学习对付滑动验证码     【按键精灵,基于机器学习的思维】

存在静态底图,通过css在前端产生动态效果,在前端JS里就能看到原理

 

在前端:安全的登陆点只有一种,需满足两个条件

1.无论用户名还是密码错误,全部都会重新执行验证码脚本(不包括本页面JS验证)

2.在本页面加载(不经过30x跳转)

3.宁可速度慢也不能舍去安全

在后端:使用智能waf机制,有效防御爆破(撞库)情况        

把有用的核心东西放在后端

人工智能waf:一个IP或者多个IP,数据包里只有一个密码在改变,它会觉得你在爆破。

反人工智能:多个账号同时入手,同一时间段验证同一账号的次数设置到安全次数以内。

12306的验证算法,的确是国内顶尖的算法了。给一个名称,从图片引擎里面调用一个图片,判断哪个图片有。     【识别所有的图片大概可以破解,难度很大,有时人都识别不了】

最后,聊聊知识源的出处:很多验证算法,只要学过算法的,反一下算法来破解就可以了,比如ORC算法。       【提出这个是在强调,不要不学算法的知识】

以上是关于[8期]浅谈当代安全验证问题的主要内容,如果未能解决你的问题,请参考以下文章

应用安全浅谈Linux系统Apache安全配置

浅谈IPv6网络安全问题及解决对策

浅谈IPv6网络安全问题及解决对策

浅谈常用的Web安全技术手段

浅谈3A和进程

浅谈身为小白学习Linux系统的四点实用建议