En las páginas web, ¿cuáles son los requisitos para las imágenes del código de verificación generadas por el servidor, como fuente, color, tamaño de la imagen, líneas de interferencia, etc.?
1. Códigos de verificación comunes
1, cuatro dígitos, una cadena aleatoria de un dígito, el código de verificación más original, el efecto de verificación es casi nulo.
2. El inicio de sesión del usuario del sitio web de CSDN utiliza el formato GIF, que es el código de verificación de imágenes digitales aleatorio de uso común actualmente. Los personajes de la imagen son bastante satisfactorios y el efecto de verificación es mejor que el anterior. ¡Las personas sin conocimientos básicos de gráficos e imágenes no pueden romperlo! Es una lástima que el programa para leerlo parezca haber sido publicado en el foro el primer día de uso en CSDN. ¡Es realmente lamentable!
3. El inicio de sesión del usuario del sitio web de QQ utiliza el formato PNG. La imagen utiliza números aleatorios + letras mayúsculas en inglés aleatorias. ¡Cada vez que se actualiza, la posición de cada carácter cambiará! A veces, las imágenes resultantes no pueden ser reconocidas por el ojo humano, increíble...
4 Cuando solicita MS Hotmail, está en formato BMP, números aleatorios + letras mayúsculas en inglés aleatorias + píxeles de interferencia aleatoria + aleatoria. posiciones.
5. El registro de Gmail de Google está en formato JPG, con letras en inglés aleatorias + colores aleatorios + posiciones aleatorias + longitudes aleatorias.
6. Otros foros importantes están en formato XBM y el contenido es aleatorio.
2. Análisis de la función del código de verificación
El origen del código de verificación: porque los atacantes utilizarán programas dañinos para registrar una gran cantidad de cuentas de servicios web (como Passport). Los atacantes pueden utilizar estas cuentas para causar problemas a otros usuarios, como enviar spam o ralentizar el servicio al iniciar sesión repetidamente en varias cuentas al mismo tiempo. En la mayoría de los casos, el programa de registro automático no reconoce los caracteres de esta imagen. En pocas palabras, evita que los atacantes escriban programas, se registren automáticamente e inicien sesión repetidamente para descifrar contraseñas por fuerza bruta. Nació la tecnología Captcha.
Proceso de implementación del código de verificación: el servidor genera aleatoriamente la cadena del código de verificación, la guarda en la memoria, escribe la imagen y la envía al navegador para su visualización. y luego lo envía en el lado del servidor, compare si los caracteres enviados son consistentes con los caracteres guardados en el lado del servidor. Si es consistente, continúe; de lo contrario, regrese al mensaje. El programa de robot escrito por el atacante tiene dificultades para identificar los caracteres del código de verificación y completa con éxito el registro y el inicio de sesión automáticos. . . . . . . . . El usuario puede identificar y completar, por lo que esto logra la función de bloquear ataques. El reconocimiento de caracteres de imágenes depende de la intensidad de la interferencia en la imagen. En términos de efectos reales, los códigos de verificación sólo aumentan la dificultad para los atacantes, pero no pueden evitarlos por completo.
1. El papel de los códigos de verificación en los foros
Actualmente, muchos sitios web utilizan tecnología de códigos de verificación para evitar que los usuarios utilicen robots para registrarse, iniciar sesión y enviar spam automáticamente. El llamado código de verificación consiste en generar una imagen a partir de una cadena de números o símbolos generados aleatoriamente y se agregan algunos píxeles de interferencia a la imagen (para evitar que el usuario pueda identificar la información del código de verificación a simple vista). formulario y envíelo al sitio web para su verificación. La verificación es exitosa antes de que pueda utilizar una función.
Debido a que su sitio WEB a veces encuentra ataques de clientes maliciosos, uno de los métodos de ataque más comunes es la suplantación de identidad. Escribe algún código en el script del cliente y luego utiliza su cliente para iniciar sesión en el sitio web. El foro inicia sesión repetidamente o el atacante crea un formulario HTML. Si el formulario contiene los mismos campos que su formulario de registro o formulario de publicación, utilice "EXPlorer y Outlook EXPress para procesar páginas WEB, correos electrónicos HTML y archivos adjuntos de CORREO ELECTRÓNICO con formato incorrecto". Los archivos de imagen provocarán fallas. El problema radica en la falta de verificación del contenido del archivo Xbm. MSIE asigna memoria de acuerdo con la longitud y el ancho especificados por la imagen. , lo que hace que el sistema consuma memoria o tenga conflictos de acceso.
En otras palabras, si construye un archivo Xbm con una longitud y un ancho particularmente grandes, es fácil que Windows se quede sin memoria, provocando que el sistema se quede sin memoria. El programa deja de responder o falla. En sí mismo, esto no es un problema especial. Es una vulnerabilidad grave, porque según el boletín de seguridad, no puede causar desbordamiento y no habrá una gran vulnerabilidad de permisos. Sin embargo, desde el SP2 de XP. enfatiza la seguridad, la función Xbm está deshabilitada.
A partir de este punto se puede ver que SP2 presta más atención a la seguridad y básicamente corrige o deshabilita las funciones vulnerables. Como administrador de red, apoyo el enfoque de Microsoft porque la configuración predeterminada del sistema operativo a menudo no es segura. factor principal que provoca que los usuarios no profesionales sean atacados.
Método de desbloqueo:
De esto se puede ver que será bastante inconveniente cuando visitemos algunos sitios que utilizan Xbm generado como código de verificación en el futuro. Si es necesario, podemos hacerlo. pasar La simple manipulación del registro restaura la funcionalidad que necesitamos.
Abra el registro (Inicio - Ejecutar - regedit - Enter), y luego ingrese la clave [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet EXPlorer\Security]
Cambie el valor de blockXbm a 00000000 (dword, doble byte). Si no, simplemente cree uno nuevo.
Después de eso, reinicie IE o reinicie la máquina y se podrán ver las imágenes en formato Xbm.
5. La tendencia de Xbm
A juzgar por la tendencia de prohibir Xbm en SP2, Microsoft parece estar planeando renunciar al soporte para el formato Xbm. Entonces, como programador, es necesario tomar precauciones y buscar otras formas de generar códigos de verificación. En php, puedes generar códigos de verificación de registro en jpg/gif y otros formatos gráficos llamando a la biblioteca gd. ¿Hay alguna otra forma en asp?
De hecho, la clave para la contraseña de verificación de la imagen es que la URL real de la imagen no se puede dejar en el cliente, o se puede usar la información correspondiente a la dirección de origen inversa. Por lo tanto, ASP puede usar la. siguientes dos métodos para admitir el código de verificación gráfica.
Si compró un host virtual, puede colocar las imágenes jpg/gif en la base de datos, luego usar la sesión para pasar el valor y finalmente usar asp para generar las imágenes directamente desde la base de datos. este método es que no requiere una configuración especial del lado del servidor. La desventaja es que cada vez que se genera una imagen de verificación, es necesario conectarla a la base de datos, lo que aumenta la sobrecarga.