作者:胡健; 柳青; 王海林验证码安全编码身份鉴别web安全安全漏洞
摘要:全自动区分计算机和人类的图灵测试(CAPTCHA)俗称验证码(VC),提供了一种自动区分人和机器的手段,已经成为保障系统安全的一种安全标准配置。针对验证码的本质特性、生成机制及其运行机理等方面的问题进行深入研究,发掘出系统验证码存在可绕过漏洞。该漏洞可以直接绕过验证码的验证机制,使得各种看似复杂安全的验证码防护如同虚设,验证码的破解率可达100%,但是该漏洞的存在率还无法确定。首先分析系统结构及登录请求参数;然后模拟登录获取系统登录所需验证码;最后编写脚本程序利用已获得的验证码对系统进行暴力破解。结合实际系统应用,验证了存在此漏洞的可用性与危害性。最后给出了系统验证码安全架设和安全编码的全新策略。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
