记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

谈谈手机验证码的安全漏洞与利用

一、背景手机验证码往往是面对用户的重点业务,那么本期就关于手机验证码所出现的安全问题,做个小小总结,文章如有不完善之处,欢迎各位同学共同交流讨论。二、短信轰炸网上之前会曝出一些关于“短信轰炸机”的新闻。举两个生活中的小场景:1. 你在淘宝上给了别人差评,随后几天遭到若干天的短信轰炸。2. 你 工作/上学 时,跟某些人闹了矛盾,事后半夜你遭到各种电话轰炸。原理解析:下面我们以一个例子来更方便的讲解该漏洞。(以下所有漏洞已经通报厂商,并已修复,读者切勿尝试)这是某央企商超业务的公众号,让我在公众号绑卡。我们点击  【我的账户】==》获取验证码:这里我们可以通过burpsuit抓个包。返回了Un
发布时间:2019-03-05 12:20 | 阅读:551355 | 评论:0 | 标签:Web安全 移动安全 验证码 漏洞

验证码哪家强?六大验证平台评测

验证码从设计之初,是为了解决区分用户是人类还是计算机的难题,验证问题必须只有人类才能解答。当时的计算机辨识技术还很落后,对于在图片中被扭曲过、污染过的文字计算机无法辨识,而人类只需要稍微思考下就可以识别出来。但是随着图像识别技术的发展,图形验证码渐渐失去了防护作用。以现状而言,机器识别可能比人识别的还快还准。很多厂家便在验证码的难度上下功夫,能在一定程度上缓解问题,但随之而来的是用户体验下降,好多奇葩的验证码机器不一定能拦住,反而把人拦住了。人工智能的发展让黑灰产也从中获益,传统的基于识别和知识的验证码在具有人工智能的机器面前已不能起到很好的防护作用了,新一代的验证码应运而生。笔者抽空整理了国内验证码口碑比较好的厂商,对其中6家进行分析对比,通过对产品类型、体验对比、收费策略等指标进行评测比较。一、六家验证码平
发布时间:2017-11-19 06:30 | 阅读:110821 | 评论:0 | 标签:技术产品 天御 极验 点触 网易云 阿里聚安全 顶象 验证码

再见了,打码平台:对抗打码平台的验证码思路

*本文原创作者:idapro,本文属FreeBuf原创奖励计划,未经许可禁止转载 某日,一朋友深夜微信上问我,如果打码平台盯上了你,你该咋整? 政治正确的回答方式是:加强风控策略,多维度判断使用者意图,减低对验证码的依赖。 显然这不是我或者朋友真正想要的,现在不少企业面对打码平台有时候束手无策,只能放弃对验证码的依赖,我觉着有点可惜。 我们先来回顾一下,验证码的学名是啥?图灵测试。图灵测试的目的是为了区分人与机器,而打码平台的加入使得这个过程立即无效——打码平台上活跃的对象还真是人。但这样就没辙了么?No。 这“人”与“人”之间是有差别的。我们仔细想想,我们加入验证码的目的其实除了图灵测试之外还有一个重要的潜在期望——我需要知道你的确是你。 绝大部分需要部署验证码的地方其实都有具体和人或行为关联的信息,例如登
发布时间:2017-04-26 17:05 | 阅读:98220 | 评论:0 | 标签:WEB安全 终端安全 打码平台 验证码

让黑客和羊毛党一筹莫展的行为验证码技术

2002年,卡内基梅隆大学的计算机天才路易斯·冯·安提出了反图灵测试——验证码,以帮助雅虎邮箱解决大规模的垃圾邮件。 从那以后,在互联网发展历程中长达15年的时间里,围绕着验证码的争斗从未间断。 也许你一直都在困惑,验证码到底有什么作用? 很多人对于验证码最深刻的印象恐怕就是在抢票的时候总是会出现验证码,而每次都抢不到。我们就会有一种错觉,没买到票都是验证码的错。 其实不然,普通人买票都是用自己的账号,手动抢票。而黄牛不一样,几千上万个账号,利用机器程序自动抢票,而验证码的设计恰恰就是为了阻止机器程序自动抢票以及任何想要通过机器程序作弊,薅取互联网资源的行为。 最开始,验证码是字符形式的。 那时候计算机技术相对落后的情况下,机器想要识别这样的验证码很不容易,而人类则是轻而易举。 验证码成功的解决了雅虎垃圾邮件
发布时间:2017-04-20 00:40 | 阅读:107935 | 评论:0 | 标签:技术产品 极致验证 深度学习 验证码

小小验证码改变世界,极验新产品“V3.0 极智时代”近日上线

2002年,基于图灵测试理论而诞生的传统验证码曾一度改变了互联网世界。它为网络安全而生,如今却成了黑客窃取数据时最防而无用的跳板。图灵测试基于的假设是恶意行为固定静态的,没有考虑现行的计算机科学及统计学理论发展,现行国内外各大公司对语音及图像的分析处理能力甚至某些单项任务上早已经达到了正常人类都难以企及的地步。 以以上字符验证码为例,市面上几乎所有的传统字符验证码都是建立在牺牲用户交互体验的基础之上的。而像这种牺牲是否给用户带来了安全呢?在10年前,答案可能是肯定的,但如今的科技已超越当年,互联网技术和人工智能的快速发展,早已让机器识图的能力与人类并驾齐驱甚至比人类在这方面的准确率更高。只要稍加降噪,这些验证码上的字符就会毫无保留地呈现在黑客面前。 2012年极验验证首次提出了“行为式验证”概念,到2016年
发布时间:2017-04-15 02:15 | 阅读:79786 | 评论:0 | 标签:技术产品 极验验证 验证码

验证码安全那些事

*原创作者:LionZ,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 最近在研究验证码安全,本文主要分析四种流行的验证码(图形,短信,语音和滑动)进行分析,写这篇文章的出发点并非是绕过或破解验证码,而是根据自身业务情况来选择对应的验证码类型,在用户体验和安全性中找到属于自己的平衡点。 有问题可与我联系Wechat:atiger77 目录 0×01. 图形验证码   0×02. 短信验证码 0×03. 语音验证码 0×04. 滑动验证码 0×05. 总结 备注:无论使用哪种验证码,只要开发不当都可能存在安全漏洞,为了减少文章重复内容,只在短信验证码中讲解漏洞以及对应加固方案,在语音验证码中讲解风控预防措施。 0×01 图
发布时间:2017-04-14 17:35 | 阅读:84797 | 评论:0 | 标签:新手科普 验证码

文本验证已经过时 神经网络是验证码的大敌

机器是人类创造力的产物。然而,近来我们发现,机器屡屡战胜了人类。事实上,我们完全可以做得更好。 最初的验证码在2000年投入使用,从那时起验证码整体上都大同小异。考虑到验证码主要是一种安全手段,这显然会引发麻烦。毕竟,如果在长达17年的时间里,一项安全技术始终得不到更新,这简直是场灾难,因为这意味着全世界的攻击者已经花了整整17年,用新的攻击技术来挫败你老旧的防御技术。 不妨看看,过去17年里有什么影响了验证码。 对验证码最重要的影响因素是已经成为主流的机器学习。神经网络等技术已经从计算机科学中的尖端研究技术发展成了青少年打发时间的周末游戏。神经网络这类技术是程序员的不二选择,它们远比其他手段简单太多。 原本需要成千上万行代码实现的功能如今仅需几百行代码就可实现。读到这里,那些没用过神经网络的读者大概会惊奇不
发布时间:2017-03-24 06:40 | 阅读:103279 | 评论:0 | 标签:牛闻牛评 reCAPTCHA 神经网络 身份鉴别 验证码

浅谈Web安全验证码

阅读: 121春运又称“年度全球最大规模的人口流动”,是一部“人民的斗争史”,起初只是与黄牛斗智斗勇,后来为了整治黄牛12306不断升级验证码,于是大家开始了与验证码斗智斗勇。那么这种验证码是否是必须的?且看小编对Web安全之验证码的解读。为防止服务器端的资源被客户端的计算机程序滥用或攻击,服务器需要区分当前用户是计算机还是人类,一般在网站的关键操作位置都会采用验证码技术来区分。围绕验证码展开的攻防技术在Web安全中有着重要地位,本文将从验证码的工作原理出发,介绍验证码实现上容易产生的问题,并对其攻防技术现状和未来做一个简要介绍。文章目录前言工作原理存在的问题对抗现状验证码未来可能的主要形式小结参考前言全自动区分计算机和人类的图灵测试(Completely Automated Public Turing tes
发布时间:2016-12-20 04:10 | 阅读:166269 | 评论:0 | 标签:Web安全 CAPTCHA 春运 服务器端资源 绿盟科技 验证码 验证码技术 验证码技术工作原理

验证码的前世今生(今生篇)

看完《验证码的前世今生(前世篇)》也许第一感觉就是Winter is coming,互联网的人机对抗到了最黑暗的时刻。柳暗花明又一村,最黑暗的时刻也是光明即将来临的时刻——在传统验证码的末日新的反向图灵测试机制浴火重生。0×1 验证码的划代标准在介绍新的反向图灵测试机制前,首先我们对验证码进行划代对比。通过验证码的划代对比我们能更清楚新型验证码的特性。验证码划代的标准是人机识别过程中基于对人类知识的应用。第一代:标准验证码这一代验证码是即是我们常见的图形验证码、语音验证码,基于机器难以处理复杂的计算机视觉及语音识别问题,而人类却可以轻松的识别来区分人类及机器。这一代验证码初步利用了人类知识容易解答,而计算机难以解答的机制进行人机判断。 第二代:创新验证码第
发布时间:2016-04-21 18:10 | 阅读:89504 | 评论:0 | 标签:WEB安全 网络安全 验证码

谷歌验证码就这样被轻易破解

利用cookie和浏览器检查的不严谨,再辅以一点儿人工智能,破解谷歌的验证码(Captcha)非常容易。安全研究人员刚刚发现,精心设计的自动化攻击能够以七成的概率破解谷歌的reCaptcha安全系统。需要注意的是,脸书也使用这一套验证码系统。研究人员对2235个验证码进行了测试,破解了其中的70.1%,平均耗时仅为19.2秒。对脸书使用的验证码,研究人员取得了更大的成功,破解了200个验证码中的83.5%。此外,研究人员估计,黑客具有部署专门破解验证码的系统的动机。这样的一套自动化系统每天运行成本在110美元左右,每个IP地址运行一次,且能够在24小时内破解大约63000个验证码而不会被检测或屏蔽掉。来自纽约哥伦比亚大学计算机科学系的苏汉妮·希瓦科恩(Suphannee Sivakorn)、埃索纳斯·波拉基斯(
发布时间:2016-04-15 04:50 | 阅读:79631 | 评论:0 | 标签:黑极空间 谷歌 验证码

验证码的前世今生(前世篇)

常在网上晃悠的人,对上面这张图都不会陌生。特别是在注册新账号、确认交易时,它们都会频繁出现,要求我们输入正确的验证码,那这些看上去跟我们要做的事情完全无关的验证码到底有何作用呢?0×1诞生首先,先介绍下验证码程序的提出者,路易斯·冯·安(Luis von Ahn)。2002年,路易斯和他的小伙伴在卡内基梅隆第一次提出了CAPTCHA(验证码)这样一个程序概念。该程序是指,向请求的发起方提出问题,能正确回答的即是人类,反之则为机器。这个程序基于这样一个重要假设:提出的问题要容易被人类解答,并且让机器无法解答。在当时的条件下,识别扭曲的图形,对于机器来说还是一个很艰难的任务,而对于人来说,则相对可以接受。yahoo在当时第一个应用了图形化验证码这个产品,很快解决了yahoo邮箱上的垃
发布时间:2016-02-26 21:15 | 阅读:68828 | 评论:0 | 标签:安全管理 网络安全 验证码

透过现象看本质 戏说12306验证码

年关将至,一场世界级的社会壮举又将上演,那就是咱们的春运,短短的十几天将搬运30亿人次的客流,让国外的记者和看客们都不得不佩服咱们伟大祖国的交通运输能力。为了准备这场“大戏”,抢票这种全民级现象已经提前上演,虽然买票难的问题已经逐年好转,但在抢票过程中仍然槽点不断,其中的明星当属验证码了,这两天12306的验证码已经被大家各种吐槽各种调侃,那么这次和大家一起来研究一下关于这个验证码背后的问题。验证码的由来其实一开始,互联网上是没有验证码的。那时想要在论坛上发帖,只需轻轻敲一下回车键。然而,当时的黑客也十分猖狂,他们编写了一种能够大量、重复编写信息的程序,伪装成人类用户,肆无忌惮地朝网络上倾倒大量的、无意义的“僵尸”信息,垃圾邮件、垃圾广告、垃圾评论到处乱飞。这时出现了一个人,他的名字叫路易斯·冯·安。2015年
发布时间:2015-12-10 03:35 | 阅读:77606 | 评论:0 | 标签:牛观点 牛闻牛评 12306 验证码

[原创作品][PHP]发疯的投票机

一直没有更新blog了,也没有怎么关注..有点对不起这里每天几百ip的访问量了... 前几天友人问我测试投票系统,让我试试看,结果就诞生了这个函数。 本程序基于php的curl扩展,如果运行失败,请先检查您的php环境是否正常! 这个函数的功能包括,自动生成ip,以及ip自定义,自动生成人名(附带函数),自定义浏览器agent(默认为IE8),当然,你想循环多次运行的话, 你可以for嘛... 需要视情况修改的代码我都增加了注释. 在这里,我要声明: 本程序代码仅供学习交流,除此之外,作者无任何目的,任何用于非法目的,以及违背道德及法律的行为,均与作者无关! 请尊重作者的劳动成果,复制粘贴请附带版权信息! 话说投票,那么第一反应就是抓包,某url发来一看,无验证码,就是后台需要管理员验证,
发布时间:2013-01-07 14:01 | 阅读:75517 | 评论:0 | 标签:我的作品 php 代码 函数 刷票 刷票机 投票 源码 程序 验证码

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云