De hecho, ¿para qué sirve el "código de verificación" en el sitio web?
Pregunta: Hei Fengbing (49520959) (2005-07-25 20:07:38)
Administrador del foro
¿Puede contarme sobre el código de verificación? ¿Por qué no se puede mostrar? Solo mencionaste la solución en el foro.
Me gustaría saber el motivo.
¿Puedes decirme algo?
Respuesta: Este es un tema político actual, jaja. Actualmente, muchos sitios web utilizan tecnología de código de verificación para evitar que los usuarios utilicen robots para registrarse, iniciar sesión y enviar spam automáticamente. El llamado código de verificación consiste en generar una imagen a partir de una cadena de números o símbolos generados aleatoriamente y agregar algunos píxeles de interferencia a la imagen (para evitar que el usuario pueda identificar la información del código de verificación a simple vista, ingrese el código). formulario y envíelo al sitio web para su verificación. La verificación es exitosa antes de que pueda utilizar una función. No, nuestro foro de Legion también está haciendo este truco. Como resultado, anoche no pude publicar. Ejecuté el parche varias veces y luego reinicié IE y todavía no podía ver el código de verificación. Sospeché que las medidas de seguridad de mi máquina eran demasiado altas y resultó que sí. prohibido modificar el registro. Después de que se cambió la prohibición, el problema persistió y no tuve más remedio que hacerlo manualmente. El problema está resuelto.
Muchos amigos tienen preguntas sobre los códigos de verificación. Los usuarios de los principales foros también odian los códigos de verificación y los encuentran problemáticos. Sigue siendo mi estilo, sencillo y minucioso, dividido en partes y respondido paso a paso. Comencemos:
El código de verificación inicial son solo unos pocos números generados aleatoriamente. Pero como dice la magia, pronto habrá un software que pueda reconocer números. Los "coleccionistas" utilizan este software para obtener números de cuenta en lotes o detectar contraseñas, porque el software puede enviarlos incansablemente de forma continua. Como resultado, los códigos de verificación aparecieron en forma de imágenes, con fondos irregulares agregados. Dado que es difícil para el ojo humano distinguirlos, se espera que al software le resulte difícil distinguirlos. Pero Tencent ha comenzado a utilizar imágenes de caracteres chinos como códigos de verificación. ¿Significa esto que la tecnología para descifrar códigos de verificación ha logrado nuevos avances? ¿Los códigos de verificación en forma de imágenes de números o letras con un fondo también se pueden distinguir mediante software?
Vale la pena explicar que el código de verificación es diferente del código de registro. El código de registro es una contraseña calculada por el autor del software mediante un algoritmo especial basado en el código de máquina enviado, que permite que el software se ejecute. normalmente.
1. Códigos de verificación comunes
1, cuatro dígitos, una cadena aleatoria de un dígito, el código de verificación más original, el efecto de verificación es casi nulo.
2. El inicio de sesión del usuario del sitio web de CSDN utiliza el formato GIF, que es el código de verificación de imágenes digitales aleatorio de uso común actualmente. Los personajes de la imagen son bastante decentes y el efecto de verificación es mejor que el anterior. ¡Las personas sin conocimientos básicos de gráficos e imágenes no pueden romperlo! Es una lástima que el programa para leerlo parezca haber sido publicado en el foro el primer día de uso en CSDN. ¡Es realmente lamentable!
3. Los usuarios del sitio web de QQ utilizan el formato PNG para iniciar sesión. En las imágenes se utilizan números aleatorios y letras en inglés. Toda la composición es un poco arrogante. Cada vez que se actualiza, la posición de cada carácter cambiará. ¡cambia! A veces aparece. Las imágenes no pueden ser reconocidas por el ojo humano, es increíble...
4. Cuando se solicitó MS hotmail, estaba en formato BMP, con números aleatorios y mayúsculas en inglés al azar. letras que interfieren aleatoriamente con las posiciones aleatorias de los píxeles.
5. El registro de Gmail de Google está en formato JPG, con letras en inglés aleatorias, colores aleatorios, posiciones aleatorias y longitudes aleatorias.
6. Otros foros importantes están en formato XBM y el contenido es aleatorio.
2. Análisis de la función del código de verificación
El origen del código de verificación: porque los atacantes utilizarán programas dañinos para registrar una gran cantidad de cuentas de servicios web (como Passport). Los atacantes pueden utilizar estas cuentas para causar problemas a otros usuarios, como enviar spam o ralentizar el servicio al iniciar sesión repetidamente en varias cuentas al mismo tiempo. En la mayoría de los casos, el programa de registro automático no reconoce los caracteres de esta imagen. En pocas palabras, evita que los atacantes escriban programas, se registren automáticamente e inicien sesión repetidamente para descifrar contraseñas por fuerza bruta. Nació la tecnología Captcha.
Proceso de implementación del código de verificación: el lado del servidor genera aleatoriamente la cadena del código de verificación, la guarda en la memoria, escribe la imagen y la envía al navegador para su visualización. codifique la imagen y luego la envíe en el lado del servidor, compare los caracteres enviados con los caracteres guardados en el lado del servidor para ver si son consistentes. Si es consistente, continúe; de lo contrario, regrese al mensaje. El programa de robot escrito por el atacante tiene dificultades para identificar los caracteres del código de verificación y completa con éxito el registro y el inicio de sesión automáticos. . . . . . . . . El usuario puede identificar y completar, por lo que esto logra la función de bloquear ataques. El reconocimiento de caracteres de imágenes depende de la intensidad de la interferencia en la imagen. En términos de efectos reales, los códigos de verificación sólo aumentan la dificultad para los atacantes, pero no pueden evitarlos por completo.
1. El papel de los códigos de verificación en los foros
En la actualidad, muchos sitios web utilizan tecnología de códigos de verificación para evitar que los usuarios utilicen robots para registrarse, iniciar sesión y enviar spam automáticamente. El llamado código de verificación consiste en generar una imagen a partir de una cadena de números o símbolos generados aleatoriamente y se agregan algunos píxeles de interferencia a la imagen (para evitar que el usuario pueda identificar la información del código de verificación a simple vista). formulario y envíelo al sitio web para su verificación. La verificación es exitosa antes de que pueda utilizar una función.
Debido a que su sitio WEB a veces encuentra ataques de clientes maliciosos, uno de los métodos de ataque más comunes es la suplantación de identidad. Escribe algún código en el script del cliente y luego utiliza su cliente para iniciar sesión en el sitio web. Se puede iniciar sesión en el foro repetidamente, o el atacante crea un formulario HTML que contiene los mismos campos que su formulario de registro o formulario de publicación, y luego usa "EXPlorer y Outlook EXPress para procesar páginas WEB, correos electrónicos HTML y archivos adjuntos de CORREO ELECTRÓNICO. Imagen de Xbm con formato incorrecto Los archivos causarán fallas. El problema radica en la falta de verificación del contenido del archivo Xbm. MSIE asigna memoria de acuerdo con la longitud y el ancho especificados por la imagen. provocando que el sistema consuma memoria o tenga conflictos de acceso.
En otras palabras, si construye un archivo Xbm con una longitud y un ancho extremadamente grandes, es fácil que Windows se quede sin memoria, lo que provocará que el programa se quede sin memoria. deja de responder o falla en sí mismo, esto no es un problema especial. Es una vulnerabilidad grave, porque según el boletín de seguridad, no puede causar desbordamiento y no habrá una gran vulnerabilidad de permisos. Sin embargo, dado que el SP2 de XP enfatiza la seguridad. A partir de este punto, se puede ver que SP2 es de hecho para la seguridad. Preste más atención y básicamente corrija o desactive las funciones vulnerables. Como administrador de red, apoyo el enfoque de Microsoft, porque la configuración predeterminada del sistema operativo no lo es. seguro, que suele ser el factor principal que provoca que los usuarios no profesionales sean atacados.
Método de desbloqueo:
De esto podemos ver que será bastante inconveniente cuando lo visitemos. algunos sitios utilizan Xbm generado como código de verificación. Si es necesario, podemos restaurar las funciones que necesitamos simplemente operando el registro.
Abra el registro (Inicio - Ejecutar - regedit - Entrar) y luego ingrese. clave [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Internet EXPlorer\Security]
Cambie el valor de blockXbm a 00000000 (dword, doble byte). Luego reinicie IE o reinicie la máquina y podrá ver las imágenes en formato Xbm.
Cinco, la tendencia de Xbm
De la tendencia de SP2 que prohíbe Xbm, Microsoft parece. He comenzado a renunciar al formato Xbm. Entonces, como programador, es necesario tomar precauciones y encontrar otras formas de generar códigos de verificación.
En php, puedes generar códigos de verificación de registro en jpg/gif y otros formatos gráficos llamando a la biblioteca gd. ¿Hay alguna otra forma en asp?
De hecho, la clave para la contraseña de verificación de la imagen es que la URL real de la imagen no se puede dejar en el cliente, o se puede usar la información correspondiente a la dirección de origen inversa. Por lo tanto, ASP puede usar la. siguientes dos métodos para admitir el código de verificación gráfica SP2.
Si compró un host virtual, puede colocar la imagen jpg/gif en la base de datos, luego usar la sesión para pasar el valor y finalmente usar asp para generar la imagen directamente desde la base de datos. este método es que no requiere que el servidor esté configurado especialmente. La desventaja es que cada vez que se genera una imagen de verificación, es necesario conectarla a la base de datos, lo que aumenta la sobrecarga.
Si eres un usuario con derechos de control de administrador, puedes considerar el uso de componentes de terceros para implementarlo. Tianyuan recomienda personalmente el componente de imagen ASP shotgraph. Su versión gratuita tiene ciertas limitaciones en los gráficos generados, pero es suficiente para generar códigos de verificación.