攻擊者攻擊客戶端的一些手法:
1、在WEB站有時會碰到客戶機惡意攻擊,其中一種很常見的攻擊手段就是“身份欺騙”,它通過在客戶機端腳本寫入一些代碼,然后利用它,客戶機在網站、論壇反復登錄
2、攻擊者創建一個窗體,其窗體如果包含了你注冊窗體或發帖窗體等相同的字段,然后利用“http-post”傳輸數據到服務器,服務器會執行相應的創建賬戶,提交垃圾數據等操作。
等等攻擊手段,這些如果服務器本身不能有效驗證並拒絕此非法操作,它會很嚴重耗費系統資源,降低網站性能甚至使程序崩潰。
而現在流行的判斷訪問WEB程序是合法用戶還是惡意操作的方式,就是采用一種叫“字符校驗”的技術
WEB網站像現在的動網論壇,他采用達到方法是為客戶提供一個包含隨機字符串的圖片,用戶必須讀取這些字符串,然后隨登錄窗體或者發帖窗體等用戶創建的窗體一起提交。
因為人的話,可以很容易讀出圖片中的數字,但如果是一段客戶端攻擊代碼,通過一般手段是很難識別驗證碼的,這樣可以確保當前訪問是來自一個人而非機器。
驗證碼作用解讀一:就是將一串隨機產生的數字或符號,生成一副圖片,圖片里加上一些干擾像素(防止OCR),由用戶肉眼識別其中的驗證碼信息,輸入表單提交網站驗證,驗證成功之后才能使用某項功能。
驗證碼作用:驗證碼一般是防止有人利用機器人自動批量注冊、對特定的注冊用戶用特定程序暴力破解方式進行不斷的登錄、灌水。因為驗證碼是一個混合了數字或符號的圖片,人眼看起來都費勁,機器識別起來就更困難。像百度貼吧未登錄發帖要輸入驗證碼大概是防止大規模匿名回帖的發生。
(一般注冊用戶ID的地方以及各大論壇都要輸入驗證碼)
驗證碼作用解讀二:有效防止這種問題對某一個特定注冊用戶用特定程序暴力破解方式進行不斷的登錄嘗試,實際上用驗證碼是現在很多網站通行的方式(比如招商銀行的網上個人銀行,騰訊的QQ社區),我們利用比較簡單的方式實現這個功能。雖然登錄比較麻煩一點,但是對社區來說這個功能還是很有必要的。(但還是提醒大家保護好自己的密碼,盡量使用混雜了數字、字母、符號在內的6位以上密碼,不要使用諸如1234之類的簡單密碼或者與用戶名相同類似的密碼,其實一些生日號,手機號,身份證號都是能破開的,不要因為你只是進來觀賞,就隨意設置密碼,免得賬號被人盜用給自己帶來不必要的麻煩)
驗證碼作用解讀三:
1)驗證碼一般是防止批量注冊。人眼看起來都費勁,何況是機器。像百度貼吧未登錄時發帖要輸入驗證碼作用之一就是防止大規模匿名回帖的發生。目前不少網站為了防止用戶利用機器人自動注冊、登錄、灌水都采用驗證碼技術。
2)一般注冊用戶ID的地方以及各大論壇都要輸入驗證碼
3)常見的驗證碼
a. 四位數字,隨機的數字字符串,最原始的驗證碼,驗證作用幾乎為零。
b. CSDN網站用戶登錄用的是GIF格式,目前常用的隨機數字圖片驗證碼。圖片上的字符比較中規中矩,驗證作用比上一個好。
c. QQ網站用戶登錄用的是PNG格式,圖片用的是隨機數字+隨機大寫英文字母,整個構圖有點張揚,每刷新一次,每個字符會變換位置。
d. MS的hotmail申請的時候是BMP格式,隨機數字+隨機大寫英文字母+隨機干擾像素+隨機位置
e. Goole的Gmail注冊的時候是JPG格式,隨機英文字母+隨機顏色+隨機位置+隨機長度
f. 其他的各大論壇是XBM格式,內容隨機。
后續跟大家演示一個原始(最簡單)驗證碼的生成,做初步了解。鏈接:https://www.cnblogs.com/xslzwm/p/9684932.html