码迷,mamicode.com
首页 > 其他好文 > 详细

[8期]浅谈当代安全验证问题

时间:2019-05-03 09:42:17      阅读:91      评论:0      收藏:0      [点我收藏+]

标签:简单   应对   不能   bsp   包括   有用   一个   次数   时间   

用户名错误会提示你,而不进行密码和验证码的验证(未重新执行验证码脚本)

错误的玩法:验证用户名-验证密码-验证验证码

正确的玩法:验证验证码-刷新验证码-验证用户名-验证密码

无论后端验证码强度有多高,前端沦陷都没用   【还没有验证验证码,页面就跳转提示你账号密码错误】

语音播报验证码     调用语音识别API应对

滑动验证码对付打码平台,简单的机器学习对付滑动验证码     【按键精灵,基于机器学习的思维】

存在静态底图,通过css在前端产生动态效果,在前端JS里就能看到原理

 

在前端:安全的登陆点只有一种,需满足两个条件

1.无论用户名还是密码错误,全部都会重新执行验证码脚本(不包括本页面JS验证)

2.在本页面加载(不经过30x跳转)

3.宁可速度慢也不能舍去安全

在后端:使用智能waf机制,有效防御爆破(撞库)情况        

把有用的核心东西放在后端

人工智能waf:一个IP或者多个IP,数据包里只有一个密码在改变,它会觉得你在爆破。

反人工智能:多个账号同时入手,同一时间段验证同一账号的次数设置到安全次数以内。

12306的验证算法,的确是国内顶尖的算法了。给一个名称,从图片引擎里面调用一个图片,判断哪个图片有。     【识别所有的图片大概可以破解,难度很大,有时人都识别不了】

最后,聊聊知识源的出处:很多验证算法,只要学过算法的,反一下算法来破解就可以了,比如ORC算法。       【提出这个是在强调,不要不学算法的知识】

[8期]浅谈当代安全验证问题

标签:简单   应对   不能   bsp   包括   有用   一个   次数   时间   

原文地址:https://www.cnblogs.com/sec875/p/10804057.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!