酷应用

验证码的那些事儿

百家作者：焦点安全应急响应中心 2020-08-31 18:43:57

前言

“FSRC经验分享”系列文章，旨在分享焦点科技信息安全部工作过程中的经验总结，包括但不限于漏洞分析、运营、sdl、等级保护、自研工具等等。
欢迎各位安全从业者持续关注~

1简介

随着黑产的各种手段不断进步，企业方对于帐号风控的需求不断进步。而验证码是防护的第一道墙，如果选对了合适的验证码，可以将绝大部分攻击挡在企业的大门外。

在用户的日常体验中，注册、登录、甚至发表内容等处都需要验证码，我们了解过验证码是什么吗？验证码的安全现状和发展趋势又是怎么样呢?

本文为信息安全部研发同事在内部安全验证开发过程中，对验证码的种类、破解办法、发展趋势、案例分析及所面临的威胁进行整理，希望通过下面的介绍，你将会有所了解。

2认识验证码

2002年，路易斯·冯·安(Luis von Ahn)和他的小伙伴在卡内基梅隆第一次提出了CAPTCHA(验证码)这样一个程序概念。

该程序是指，向请求的发起方提出问题，能正确回答的即是人类，反之则为机器。这个程序基于一个重要假设，即提出的问题要容易被人类解答，并且让机器无法解答。

这也引伸出我们验证码的设计方向：尽可能的区别人和机器，人识别越简单越好、机器识别越困难越好。

3输入式验证码

输入式验证码，指通过用户输入图片中的字母、数字、汉字等进行验证。

验证码示例

优劣处

优：

成本便宜，操作简单

大众化接受度高

劣：

容易被破解

破解方法

　OCR　

简介：Optical Character Recognition，光学字符识别

特点：简单易用、识别率低，需要配合灰度、二值化等操作

　机器学习　

简介：使用TensorFlow

特点：需要大量验证码分析和处理

流程：

（1）获取字体样本，搜集背景图片

（2）将不同字体验证码加工处理（干扰、变形）

（3）将处理后验证码写入背景图片，生成训练样本

（4）累计样本库，覆盖常见模型

（5）判断错误，对结果进行优化

　打码平台　

简介：通过第三方人工

特点：速度快，准确率高，以人工方法进行识别；需付费，属于黑灰产

未来发展方向

1、“字体”：扭曲、粘连、混用

2、“背景”：干扰色、干扰字母

3、“逻辑问题”：通过问题结果辨识人和机器

4拖动式验证码

拖动式滑块，指将滑块拖动到指定位置。此外，拖动式滑块经过变种可以形成拖动旋转式验证码，即通过图像的旋转角度确认其校正方向的准确性。

验证码示例

拖动式滑块

拖动旋转验证码

优劣处

优：

难度简单，用户体验性好

无法接入打码平台

劣：

偶尔影响正常用户使用

素材库单一时易被破解

破解方法

　模拟真人操作　

简介：计算图片位置，模拟点击

特点：需要大量学习

（1）截取验证码图片区域

（2）通过比较色值差异计算缺口位置

（3）计算需要滑动的距离

（4）用先加速后减速的过程进行滑动

未来发展方向

1、缺口的位置、方向随机

2、引入AI模型（如滑动速度判断等）

3、背景图片足够多或经常更新

4、加入混淆选项，防止破解

5、新型的随机手势轨迹

5点触式验证码

点触式验证码，指使用点击选择的形式完成验证，是一种安全，有趣，互动形式的新型验证方法。

验证码示例

优劣处

优：

机器识别有一定成本

破解有一定技术门槛

劣：

对图片、图库识别技术要求高

破解方法

　调用各类识图API　

简介：使用各大搜索引擎中图片识别api

特点：容易被察觉并被封

　可以接入打码平台　

简介：同图片验证码

　机器学习　

简介：使用机器学习寻找关键词共同点并分析图片内容

特点：固定化，每多一个内容都需重新学习

未来发展方向

1、增加个人信息相关认证

2、接入一些人可以理解的逻辑要求

6智能验证码

智能验证码，指在点选或滑动验证码的基础上加入风控模型，判断用户风险，在同一个登录模式中存在多种不同的验证方式对用户进行二次验证。

验证码示例

安全用户

低可疑用户

中可疑用户

高可疑用户

优劣处

优：

用户体验好，不打扰正常用户

操作简单，安全系数高

劣：

需持续完善的风控模型

需长期根据实际情况调参

占用资源

破解方法

暂无

未来发展方向

利用人工智能技术对验证码进行革新，实现智能无感知

7FSRC验证码漏洞案例

验证码漏洞本身危害程度不是很高，但由于其场景较多，如果用心去研究，还是有很大可能性挖到漏洞。

验证码内容在前端/返回包中

如果开发图简单，直接将验证码在前端验证/放在返回包中，则简单的查看网页源代码或抓包即可发现。

当然有时候是加过密的，需要解密才能看到

验证码置空通过校验

设计时，是判断当ticket存在且错误时，统一返回报错信息

通过置空ticket参数，直接返回对应的报错信息（账号不存在/账号密码错误），被用来爆破用户手机号

清空cookie绕过

清空cookie之后，可以让后端认为是首次访问无需验证码，绕过限制5次/10次等次数才触发的验证码机制

修改验证返回包绕过

包括两种：

1、修改返回包中提示验证码是否错误的值，进行爆破。

【过于简单假装有图】

2、骚姿势，有些前端会把是否需要验证码作为请求发到服务端，这时候将needvalidate参数改为false，即可让系统不弹出验证码。

验证码图片修改分辨率

通过修改验证码的height和width值，导致服务器资源浪费在生成验证码图片上。

如果修改成超大分辨率或多次申请，可导致服务器宕机。

8总结

各种验证码其实都有一定的优劣处，并不是某一种验证码一定就比其他的验证码更加合适我们的业务。因此，还是需要根据业务的实际情况和使用人数做好均衡评估，在保证服务器性能的情况下选择合适的验证码机制。

此外，无论使用哪种验证码，只要开发操作不当都可能产生安全漏洞，如果逻辑设计上本就有问题，哪怕最安全的验证机制也是马奇诺防线。

9免责声明

本文中提到的相关资源已在网络公布，仅供研究学习使用，请遵守《网络安全法》等相关法律法规。

10参考资料

验证码的前世今生（by 阿里云誉反欺诈）

https://www.freebuf.com/articles/web/102276.html

验证码安全那些事（by LionZ）

https://www.freebuf.com/131542.html

验证码实战攻防（by 红日安全）：

https://xz.aliyun.com/t/6971

FSRC，愿与你共同成长

焦点科技漏洞提交网址：https://security.focuschina.com

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

*文章为作者独立观点，不代表爱尖刀立场

本文由焦点安全应急响应中心发表，转载此文章须经作者同意，并请附上出处( 爱尖刀 )及本页链接。

原文链接 https://www.ijiandao.com/2b/baijia/379126.html

图库

焦点安全应急响应中心

关注网络尖刀微信公众号
随时掌握互联网精彩

赞助链接

百度热搜榜

排名热点搜索指数