专栏首页网站漏洞修补网站漏洞修复之图片验证码的详细修复方案
原创

网站漏洞修复之图片验证码的详细修复方案

在对网站安全进行整体的安全检测的时候,用户登陆以及用户留言,评论,设置支付密码,以及一些网站功能方面都会用到图片验证码,针对于验证码我们SINE安全对其进行了详细的网站安全检测,以及图片验证码安全防护方面,都会详细的跟大家讲解一下。验证码分很多种,图片形式的验证码是目前网站用的最多的,还有一些短信的验证码,手机语言验证码,答题验证码,都是属于网站所用到的验证码,今天主要跟大家讲解的就是图片验证码。

首先要了解一下什么是图片验证码,英文叫"CAPTCHA",其作用就是防止用户对网站进行恶意的登陆以及暴力破解,防止一些恶意的用户对网站进行多次的重复性的攻击,比如:留言,评论,点击,刷票,尝试性的用弱口令去登陆用户的账号,针对这些网站攻击,图片验证码很好的进行了阻止,防止了恶意攻击。

图片验证码生成的流程,我们来看下这个图:

首先用户会去请求这个图片验证码,第一次会在数据库里生成一个相应的session值,然后返回给用户一个图片验证码,客户看到图片里的验证码,会手动录入进去,并点登陆,验证码会第二次的请求到服务器中,服务器后端收到请求后会进行安全对比,与数据库里的session进行比对,如果值是一样的,那么就会判定验证码成功,反之如果不对那么就会把第一次保存的session值进行删除操作,防止机器人对其进行暴力的猜解,因为验证码唯一,只能验证一次,多次验证就会失效。

我们SINE安全在对网站验证码安全检测的同时,会出现很多安全方面的隐患,以及验证码的漏洞,比较常出现的就是网站的验证码重复利用漏洞,该验证码漏洞可以导致攻击者对其复制,重复使用一个验证码,进而对用户的账号密码进行暴力破解。攻击的特征是POST数据里的session值不变,以及验证码也不变,唯一变的就是用户的账号以及密码。

图片验证码的默认配置导致存放位置被泄露,这个验证码漏洞的产生原因主要是把session这个值写到了网站文件目录里,以及一些cookies值都会写到图片文件里。另外一种验证码的漏洞是验证码在对比后,会再进行一次对比,导致不停的进行逻辑运算,多次的请求验证码,会导致整个验证码对比失败。

在对其他网站进行验证码安全检测时,也发现了一种验证码上的安全问题,验证验证码后,并没有将验证码删除,导致可以重复使用,应该对其验证码效验的时候进行返回MD5值,每个请求的返回都不相同,防止用户密码遭到暴力破解。

甚至目前有些网站使用的图片验证码都会遭到软件的自动识别,有些图片识别技术使用的是一些第三方的资源,会对图片里的字母进行识别并自动填入到输入框中,可以对其进行暴力破解。

针对于验证码安全的防护以及漏洞修复方案

对验证码的安全时效时间进行安全限制,一般限制30秒或者50秒之间失效,对于同一IP在同一时间进行多次的验证码请求频率上做安全防护,限制1分钟请求的次数或者是10分钟内的请求次数。对于图片验证码的图片进行噪点渲染,防止图片被团建OCR自动识别。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • APP渗透测试 验证码功能漏洞的检测与分析汇总

    在对客户网站以及APP进行安全检测的同时,我们SINE安全对验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年的经验,在整个APP,网站的安全方面,验证...

    技术分享达人
  • 渗透测试越权漏洞测试详情

    最近忙于工作没有抽出时间来分享渗透测试文章,索性今天由我们Sinesafe的高级渗透大牛给大家详细讲下主要在业务中发现逻辑和越权的漏洞检测方法,希望大家能对自己...

    技术分享达人
  • 谈谈网站登录功能的渗透测试与漏洞修复办法

    从业渗透测试服务已经有十几年了,在对客户网站进行漏洞检测,安全渗透时,尤其网站用户登录功能上发现的漏洞很多,想总结一下在渗透测试过程中,网站登录功能上都存在哪些...

    技术分享达人
  • 再见了,打码平台:对抗打码平台的验证码思路

    某日,一朋友深夜微信上问我,如果打码平台盯上了你,你该咋整? 政治正确的回答方式是:加强风控策略,多维度判断使用者意图,减低对验证码的依赖。 显然这不是我或者朋...

    FB客服
  • 写给爬虫工程师的验证码识别教程

    但是对于一个爬虫工程师来说,去学习 机器学习相关知识可能成本太高了.(当然有空的话,还是要好好学的)

    爬虫
  • 登录注册表单渗透

    大家在甲方授权的渗透测试中,经常会遇到各种表单:登录、注册、密码修改、密码找回等表单,本技术稿着重介绍关于各种表单的渗透经验,抛砖引玉,欢迎大家交流互动。

    FB客服
  • 【实战篇】记一次登陆窗口的漏洞挖掘

    注:有时候重放报文提示“验证码错误”,还可尝试直接删除整个验证码字段,看是否报错。

    一名白帽的成长史
  • CCS 2018论文解读:使用少量样本破解文本验证码

    相信大家在日常上网的时候都会遇到“千奇百怪”的验证码,而在种类繁多的验证码家族中,文本验证码是使用最广泛的一种,也是我们遇到最多的一种验证码方案。近年来,随着深...

    AI科技评论
  • APP渗透测试 验证码功能漏洞的检测与分析汇总

    在对客户网站以及APP进行安全检测的同时,我们SINE安全对验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年的经验,在整个APP,网站的安全方面,验证...

    技术分享达人
  • 网站安全检测之图片验证码

    在对网站安全进行整体的安全检测的时候,用户登陆以及用户留言,评论,设置支付密码,以及一些网站功能方面都会用到图片验证码,针对于验证码我们SINE安全对其进行了详...

    网站安全专家

扫码关注云+社区

领取腾讯云代金券