攻击者攻击客户端的一些手法:
1、在WEB站有时会碰到客户机恶意攻击,其中一种很常见的攻击手段就是“身份欺骗”,它通过在客户机端脚本写入一些代码,然后利用它,客户机在网站、论坛反复登录
2、攻击者创建一个窗体,其窗体如果包含了你注册窗体或发帖窗体等相同的字段,然后利用“http-post”传输数据到服务器,服务器会执行相应的创建账户,提交垃圾数据等操作。
等等攻击手段,这些如果服务器本身不能有效验证并拒绝此非法操作,它会很严重耗费系统资源,降低网站性能甚至使程序崩溃。
而现在流行的判断访问WEB程序是合法用户还是恶意操作的方式,就是采用一种叫“字符校验”的技术
WEB网站像现在的动网论坛,他采用达到方法是为客户提供一个包含随机字符串的图片,用户必须读取这些字符串,然后随登录窗体或者发帖窗体等用户创建的窗体一起提交。
因为人的话,可以很容易读出图片中的数字,但如果是一段客户端攻击代码,通过一般手段是很难识别验证码的,这样可以确保当前访问是来自一个人而非机器。
验证码作用解读一:就是将一串随机产生的数字或符号,生成一副图片,图片里加上一些干扰像素(防止OCR),由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功之后才能使用某项功能。
验证码作用:验证码一般是防止有人利用机器人自动批量注册、对特定的注册用户用特定程序暴力破解方式进行不断的登录、灌水。因为验证码是一个混合了数字或符号的图片,人眼看起来都费劲,机器识别起来就更困难。像百度贴吧未登录发帖要输入验证码大概是防止大规模匿名回帖的发生。
(一般注册用户ID的地方以及各大论坛都要输入验证码)
验证码作用解读二:有效防止这种问题对某一个特定注册用户用特定程序暴力破解方式进行不断的登录尝试,实际上用验证码是现在很多网站通行的方式(比如招商银行的网上个人银行,腾讯的QQ社区),我们利用比较简单的方式实现这个功能。虽然登录比较麻烦一点,但是对社区来说这个功能还是很有必要的。(但还是提醒大家保护好自己的密码,尽量使用混杂了数字、字母、符号在内的6位以上密码,不要使用诸如1234之类的简单密码或者与用户名相同类似的密码,其实一些生日号,手机号,身份证号都是能破开的,不要因为你只是进来观赏,就随意设置密码,免得账号被人盗用给自己带来不必要的麻烦)
验证码作用解读三:
1)验证码一般是防止批量注册。人眼看起来都费劲,何况是机器。像百度贴吧未登录时发帖要输入验证码作用之一就是防止大规模匿名回帖的发生。目前不少网站为了防止用户利用机器人自动注册、登录、灌水都采用验证码技术。
2)一般注册用户ID的地方以及各大论坛都要输入验证码
3)常见的验证码
a. 四位数字,随机的数字字符串,最原始的验证码,验证作用几乎为零。
b. CSDN网站用户登录用的是GIF格式,目前常用的随机数字图片验证码。图片上的字符比较中规中矩,验证作用比上一个好。
c. QQ网站用户登录用的是PNG格式,图片用的是随机数字+随机大写英文字母,整个构图有点张扬,每刷新一次,每个字符会变换位置。
d. MS的hotmail申请的时候是BMP格式,随机数字+随机大写英文字母+随机干扰像素+随机位置
e. Goole的Gmail注册的时候是JPG格式,随机英文字母+随机颜色+随机位置+随机长度
f. 其他的各大论坛是XBM格式,内容随机。
后续跟大家演示一个原始(最简单)验证码的生成,做初步了解。链接:https://www.cnblogs.com/xslzwm/p/9684932.html