前言
由于网站注册入口容易被黑客攻击,存在如下安全问题:
- 暴力破解暗码,造成用户信息泄露
- 短信盗刷的安全问题,影响业务及导致用户投诉
- 带来经济损失,尤其是后付费客户,风险巨大,造成亏损无底洞
所以大部分网站及App 都采取图形验证码或滑动验证码等交互解决方案, 但在机器学习能力进步的当下,连百度如许的大厂都遭受攻击导致点名批评, 图形验证及交互验证方式的安全性到底怎样? 请看具体分析
一、 北京市小客车调控PC 注册入口
简介:北京市小客车指标调控管理信息系统于2011年1月1日正式启动,市民登录专网可以24小时提出申请。记者从北京市交通委获悉,前非常钟内,就有超过6000名市民获得有效申请编码。虽然跟6000余人同一时间段报名,但网上填报过程比较顺畅,填写的内容不足20项,10分钟可以完成。
二丶 安全分析:
接纳传统的图形验证码方式,具体为4个数字英文,ocr 识别率在 95% 以上。
测试方法:
接纳模拟器+OCR识别
1. 模拟器交互
- private OcrClientDddd ddddOcr = new OcrClientDddd();
- private IdCardGenerator g = new IdCardGenerator();
- private String INDEX_URL = "https://apply.jtw.beijing.gov.cn/apply/app/common/person/register";
- @Override
- public RetEntity send(WebDriver driver, String areaCode, String phone) {
- RetEntity retEntity = new RetEntity();
- try {
- driver.get(INDEX_URL);
- Thread.sleep(1 * 1000);
- WebElement selectorElement = driver.findElement(By.id("idType"));
- Select select = new Select(selectorElement);
- select.selectByValue("JMSFZ");
- WebElement idElement = driver.findElement(By.id("idCode_new"));
- idElement.sendKeys(g.generate());
- // 3 输入手机号
- WebElement phoneElement = ChromeDriverManager.waitElement(driver, By.id("mobile_new"), 1);
- phoneElement.sendKeys(phone);
- Thread.sleep(1 * 1000);
- String url, imgCode = null;
- WebElement imgElement;
- byte[] imgByte = null;
- for (int i = 0; i < 6; i++) {
- // 4 获取图形验证码
- imgElement = driver.findElement(By.xpath("//img[contains(@src,'/apply/app/common/validCodeImage')]"));
- url = imgElement.getAttribute("src");
- imgByte = GetImage.callJsByUrl(driver, url);
- int len = (imgByte != null) ? imgByte.length : 0;
- imgCode = (len > 500) ? ddddOcr.getImgCode(imgByte) : null;
- if (imgCode == null || imgCode.length() < 4) {
- ((JavascriptExecutor) driver).executeScript("arguments[0].click();", imgElement);
- Thread.sleep(1000);
- continue;
- }
- break;
- }
- retEntity.setMsg("[imgCode=" + imgCode + "]");
- if (imgCode == null || imgCode.length() < 4) {
- return retEntity;
- }
- // 5 输入识别出来的图形验证码
- driver.findElement(By.id("validCode")).sendKeys(imgCode);
- Thread.sleep(500);
- // 6 点击获取验证码
- Thread.sleep(500);
- WebElement getCodeElement = driver.findElement(By.id("getRandomCode"));
- getCodeElement.click();
- WebElement msgElement = ChromeDriverManager.waitElement(driver, By.id("alert-success"), 20);
- // 短信验证码已发送,请在十五分钟内输入
- String msg = (msgElement != null) ? msgElement.getText() : null;
- if (msg == null) {
- WebElement validElement = driver.findElement(By.id("getValidCode"));
- String dataContent = validElement.getAttribute("data-content");
- if (dataContent != null) {
- retEntity.setMsg(dataContent + " imgCode:" + imgCode);
- }
- return retEntity;
- }
- retEntity.setMsg(msg);
- if (msg.contains("短信验证码已发送")) {
- retEntity.setRet(0);
- }
- return retEntity;
- } catch (Exception e) {
- System.out.println("phone=" + phone + ",e=" + e.toString());
- for (StackTraceElement ele : e.getStackTrace()) {
- System.out.println(ele.toString());
- }
- return null;
- } finally {
- driver.manage().deleteAllCookies();
- }
- }
-
- public static byte[] callJsById(WebDriver driver, String id) {
- return callJsById(driver, id, null);
- }
- public static byte[] callJsById(WebDriver driver, String id, StringBuffer base64) {
- String js = "let c = document.createElement('canvas');let ctx = c.getContext('2d');";
- js += "let img = document.getElementById('" + id + "'); /*找到图片*/ ";
- js += "c.height=img.naturalHeight;c.width=img.naturalWidth;";
- js += "ctx.drawImage(img, 0, 0,img.naturalWidth, img.naturalHeight);";
- js += "let base64String = c.toDataURL();return base64String;";
- String src = ((JavascriptExecutor) driver).executeScript(js).toString();
- String base64Str = src.substring(src.indexOf(",") + 1);
- if (base64 != null) {
- base64.append(base64Str);
- }
- byte[] vBytes = (base64Str != null) ? imgStrToByte(base64Str) : null;
- return vBytes;
- }
- private static String INDEX_URL = "https://console.faceplusplus.com.cn/register";
- @Override
- public RetEntity send(WebDriver driver, String areaCode, String phone) {
- RetEntity retEntity = new RetEntity();
- try {
- driver.get(INDEX_URL);
- Thread.sleep(1 * 1000);
- // 1 输入手机号
- WebElement phoneElemet = driver.findElement(By.id("phone"));
- phoneElemet.sendKeys(phone);
- // 点击发送验证码按钮
- Thread.sleep(500);
- WebElement sendElemet = driver.findElement(By.xpath("//button/span[contains(text(),'发送验证码')]"));
- sendElemet.click();
- // 2 获取图形验证码
- WebElement imgElement, errElement, inputElement;
- String imgCode = null;
- byte[] imgByte = null;
- Thread.sleep(1 * 1000);
- for (int i = 0; i < 1; i++) {
- imgElement = driver.findElement(By.xpath("//img[contains(@src,'/api/official/captcha/get')]"));
- String imgUrl = imgElement.getAttribute("src");
- imgByte = GetImage.callJsByUrl(driver, imgUrl);
- int len = (imgByte != null) ? imgByte.length : 0;
- imgCode = (len > 0) ? ddddOcr.getImgCode(imgByte) : null;
- if (imgCode == null) {
- continue;
- }
- // 3 输入识别出来的图形验证码
- inputElement = driver.findElement(By.id("code"));
- inputElement.sendKeys(imgCode);
- ddddOcr.saveFile(this.getClass().getSimpleName(), imgCode, imgByte);
- // 4 确 认
- Thread.sleep(1 * 1000);
- // 点击智能按钮
- boolean isRobot = false;
- int beginX = 1540;
- int beginY = 879;
- if (isRobot)
- RobotMove.click(beginX, beginY);
- else {
- WebElement confirmElement = driver.findElement(By.xpath("//div[@class='ant-modal-footer']/button/span"));
- confirmElement.click();
- }
- }
- Thread.sleep(10 * 1000);
- WebElement msgElement = ChromeDriverManager.waitElement(driver, By.xpath("//button/span[contains(text(),'s')]"), 20);
- String gtInfo = (msgElement != null && msgElement.isDisplayed()) ? msgElement.getText() : null;
- retEntity.setMsg(imgCode + "->" + gtInfo);
- if (gtInfo != null && gtInfo.contains("秒")) {
- retEntity.setRet(0);
- return retEntity;
- }
- return retEntity;
- } catch (Exception e) {
- System.out.println("phone=" + phone + ",e=" + e.toString());
- for (StackTraceElement ele : e.getStackTrace()) {
- System.out.println(ele.toString());
- }
- return null;
- } finally {
- driver.manage().deleteAllCookies();
- }
- }
5. 测试返回结果:
三 丶测试陈诉 :
四丶结语
北京市小客车指标调控管理信息系统于2011年1月1日正式启动,市民登录专网可以24小时提出申请
。北京市交通委作为中国首都交通管理机构,拥有雄厚的资源, 技术实力也应该不错,但接纳的照旧老一代的图形验证码已经落伍了, 用户体验一样平常,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
很多人在短信服务刚开始创建的阶段,可能不会在安全方面思量太多,来由有很多。
比如:“ 需求这么赶,当然是先实现功能啊 ”,“ 业务量很小啦,系统就这么点人用,不怕的 ” , “ 我们怎么会被盯上呢,不可能的 ”等等。
有一些来由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
所以大家在安全方面照旧要重视。(血淋淋的栗子!)#安全短信#
戳这里→康康你手机号在过多少网站注册过!!!
谷歌图形验证码在AI 眼前已经形同虚设,所以谷歌宣布退出验证码服务, 那么当全部的图形验证码都被破解时,大家又该怎样做好防御呢?
>>相关阅读
《腾讯防水墙滑动拼图验证码》
《百度旋转图片验证码》
《网易易盾滑动拼图验证码》
《顶象地区面积点选验证码》
《顶象滑动拼图验证码》
《极验滑动拼图验证码》
《利用深度学习来破解 captcha 验证码》
《验证码终结者-基于CNN+BLSTM+CTC的练习部署套件》
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
