|
常在網(wǎng)上晃悠的人���,對驗(yàn)證碼都不會(huì)陌生。特別是在注冊新賬號(hào)�、確認(rèn)交易時(shí),它們都會(huì)頻繁出現(xiàn)��,要求我們輸入正確的驗(yàn)證碼��,那這些看上去跟我們要做的事情完全無關(guān)的驗(yàn)證碼到底有何作用呢? 0×1誕生 首先�,先介紹下驗(yàn)證碼程序的提出者,路易斯·馮·安(Luis von Ahn)�����。2002年���,路易斯和他的小伙伴在卡內(nèi)基梅隆第一次提出了CAPTCHA(驗(yàn)證碼)這樣一個(gè)程序概念��。該程序是指����,向請求的發(fā)起方提出問題�,能正確回答的即是人類,反之則為機(jī)器�����。這個(gè)程序基于這樣一個(gè)重要假設(shè):提出的問題要容易被人類解答�,并且讓機(jī)器無法解答。 在當(dāng)時(shí)的條件下�����,識(shí)別扭曲的圖形�,對于機(jī)器來說還是一個(gè)很艱難的任務(wù),而對于人來說����,則相對可以接受��。yahoo在當(dāng)時(shí)第一個(gè)應(yīng)用了圖形化驗(yàn)證碼這個(gè)產(chǎn)品�����,很快解決了yahoo郵箱上的垃圾郵件問題���,因此圖形類驗(yàn)證碼開始了大發(fā)展時(shí)期。 0×2發(fā)展與問題 圖形化驗(yàn)證碼在被證明有效后�,在互聯(lián)網(wǎng)上迅速得到了推廣。國內(nèi)外各大網(wǎng)站�����,在關(guān)鍵的業(yè)務(wù)點(diǎn)上都加入了這一類型的驗(yàn)證碼��。 首先����,由于開發(fā)者水平的良莠不齊,導(dǎo)致驗(yàn)證碼本身的實(shí)現(xiàn)存在問題��,從而導(dǎo)致漏洞可以繞過��,常見的有以下幾種類型: [1] 驗(yàn)證碼的生成邏輯、答案用戶可見 如將驗(yàn)證碼答案輸出到頁面中�����、寫在cookie里���。打比方就是說,在發(fā)卷的時(shí)候�,把答案寫在了卷子背面。(老師再也不用擔(dān)心我的成績) [2] 驗(yàn)證碼的生命周期未控制好 如驗(yàn)證碼可以重復(fù)使用�����、不設(shè)超時(shí)�����。驗(yàn)證一次�����,永久使用���。 [3] 業(yè)務(wù)邏輯與驗(yàn)證碼結(jié)合點(diǎn)存在問題 如修改業(yè)務(wù)參數(shù)可導(dǎo)致不用校驗(yàn)驗(yàn)證碼也可通過�����、甚至驗(yàn)證碼就是擺設(shè)���。結(jié)合到具體的業(yè)務(wù)點(diǎn)上有什么危害呢? a. 驗(yàn)證碼寫在cookie中���。此處可導(dǎo)致旅客信息泄露。  b. 驗(yàn)證碼與圖片存在對應(yīng)關(guān)系����,因此直接訪問html即可得到答案。此處可導(dǎo)致撞庫與暴力破解密碼��。? 
(上述兩例轉(zhuǎn)自烏云) 0×3圖片驗(yàn)證碼對抗與攻擊升級 在開篇我們提到了一個(gè)重要的假設(shè): CAPTCHA提出的問題要容易被人類解答�,并且讓機(jī)器無法解答。 實(shí)際上��,CAPTCHA所要處理的問題是:將普通人與惡意的用戶(黑客�、垃圾消息發(fā)送者)區(qū)分開來。那當(dāng)時(shí)間點(diǎn)到達(dá)2016年時(shí)����,黑客們與普通用戶之間的差距已經(jīng)很大了(想象下中國足球隊(duì)對巴西足球隊(duì),而且此時(shí)留給中國隊(duì)的時(shí)間已經(jīng)不多了)���。 因此��,CAPTCHA在圖片驗(yàn)證碼這一應(yīng)用點(diǎn)上已經(jīng)無法滿足這一假設(shè)了�����。在這段時(shí)間內(nèi)����,出現(xiàn)了很多的加強(qiáng)和識(shí)別圖形驗(yàn)證碼的方法(每一種方法的詳細(xì)原理和解釋���,可以參見wooyun drops��,在此不做詳述): 
附上部分名詞解釋: 
 如上圖所示���,原始的圖像使用了字體旋轉(zhuǎn)、背景色混淆等手段���,在專業(yè)的驗(yàn)證碼工具面前�,也就是幾個(gè)命令拼接即可完成識(shí)別  如上圖所示���,是一個(gè)驗(yàn)證碼識(shí)別軟件自建字庫的過程���,通過回車確認(rèn)驗(yàn)證碼識(shí)別正確�,如有錯(cuò)誤�,稍帶修改繼續(xù)。當(dāng)保存了上千個(gè)正確識(shí)別的字庫后�����,該程序便可達(dá)到一個(gè)可用的可用的準(zhǔn)確率����。(其實(shí)若不不做其他限制,此時(shí)準(zhǔn)確率在30%以上時(shí)��,即可造成很大的危害���,畢竟對于攻擊者來說�����,發(fā)3個(gè)包與發(fā)1個(gè)包的成本差別不大) 看到這里�����,客戶們大概可以回答這個(gè)問題了: 為什么我用了驗(yàn)證碼還是會(huì)被刷? 那普通驗(yàn)證碼難道沒用了嗎? 那倒也不是�����,安全是一個(gè)博弈的過程�。綜合使用之前提到的驗(yàn)證碼技術(shù)(特別是字體粘連等),并且保持關(guān)注和變化����,攻擊者的識(shí)別率也比較低。當(dāng)攻擊的成本大于可獲得的利益時(shí)��,自然就沒人來攻擊了�����。(普通用戶在此應(yīng)強(qiáng)烈要求存在感) 此時(shí)��,雖然兩方大小上略有差距����,但是總體戰(zhàn)斗力還算是勉強(qiáng)打個(gè)平手�����,互相出招而已。只是隨著戰(zhàn)火的升級���,個(gè)人輪番上陣后�����,驗(yàn)證碼已經(jīng)違背了他最初設(shè)計(jì)時(shí)的初衷:對普通用戶的友好性逐漸消失���。而普通用戶的體驗(yàn)也就成了這場戰(zhàn)爭中的犧牲品,這也就造就了一批有一批被用戶吐槽的無法辨認(rèn)的驗(yàn)證碼��。 正當(dāng)普通用戶們不斷吐槽的時(shí)候�����,程序員表示這個(gè)鍋不想背但是也得背����。因?yàn)闃I(yè)務(wù)總是要做的,而攻擊者們也是要吃飯的���,升級了驗(yàn)證碼的成本�����,也就限制了風(fēng)險(xiǎn)的等級����,于是就變成了這樣一個(gè)模式╮(╯_╰)╭: 程序員:熬一晚上升級攻擊者:熬一晚上破解程序員:熬兩晚上升級攻擊者:熬兩晚上破解....(心疼)... 大家就在這種你方唱罷我登臺(tái)的情況下看似和睦的度過了一段時(shí)間。 0×4 圖片驗(yàn)證碼的沒落 在日日夜夜的對抗中�,攻擊者想到了一個(gè)辦法,可以一勞永逸的解決圖片驗(yàn)證碼的問題�。在我對這些搞灰產(chǎn)的人們表示憧憬之前,先說點(diǎn)題外話��。 2009年���,google買下了CMU的一個(gè)項(xiàng)目:recaptcha��。這個(gè)項(xiàng)目是CAPTCHA的進(jìn)階版本�。它所基于的假設(shè)與CAPTCHA一致��,但是它同時(shí)讓用戶識(shí)別兩張圖片���,一張用于驗(yàn)證用戶身份,而另一張用于幫助難以用機(jī)器識(shí)別的電子文檔�����。  恩,如果讀者有從事此類灰產(chǎn)相關(guān)工作的人�,請注意recaptcha右下角的小字(stop spam.read books看看這情懷)。 而recaptcha的作者����,當(dāng)然又是:路易斯·馮·安。在recaptcha的基礎(chǔ)上�����,路易斯進(jìn)一步提出了一個(gè)概念:人類計(jì)算(Human Computation) ���。 簡單來說�����,他希望借由計(jì)算機(jī)和網(wǎng)絡(luò)平臺(tái)�,發(fā)揮人類技能���,去解決大規(guī)模���、復(fù)雜的問題,具體到recaptcha項(xiàng)目來說����,就是借助大家的力量去幫助數(shù)字化書籍�����。(該思想的具體應(yīng)用還包括一個(gè)叫ESP GAME的游戲以及后面會(huì)提到的no recaptcha) 但是����,在2004年(我能搜到這個(gè)新聞的最早時(shí)間)���,就有人已經(jīng)完美的實(shí)現(xiàn)了這個(gè)概念:人工打碼���,并且起源地:中國(此處我應(yīng)該感到自豪嗎)。 所謂的人工打碼就是����,將驗(yàn)證碼的請求轉(zhuǎn)發(fā)給某平臺(tái),該平臺(tái)會(huì)將這個(gè)信息發(fā)送給平臺(tái)上的打碼工����,然后打碼工人識(shí)別后����,將答案反送回請求者����。通過打碼平臺(tái)的api�,攻擊者可以寫程序?qū)崿F(xiàn)對目標(biāo)的自動(dòng)化操作,而驗(yàn)證碼的部分只要交給打碼平臺(tái)就可以了����。  打碼平臺(tái)在國內(nèi)市場上的火爆,有幾個(gè)原因: [1].從2006年開始���,國內(nèi)互聯(lián)網(wǎng)的迅猛發(fā)展��,使得流量變現(xiàn)成為了可能���。各種郵件營銷、SEO�����、IM工具等都迫切的需要穩(wěn)定的可以繞過圖形驗(yàn)證碼的方法�。而近些年興起的基于數(shù)據(jù)的詐騙、賬號(hào)盜取等更進(jìn)一步加劇了這個(gè)趨勢�。 [2].打碼平臺(tái)的爆發(fā)式發(fā)展也同時(shí)得益于中國經(jīng)濟(jì)蓬勃發(fā)展的原因之一:人口多并且人力成本低。網(wǎng)絡(luò)上一種常見的網(wǎng)賺模式���,就是打碼工模式��,一個(gè)只要會(huì)上網(wǎng)��,能識(shí)別驗(yàn)證碼的人就可以參與���。PS:難道你沒有看見過下面這些廣告嗎?大學(xué)生�����、大媽�����,無需學(xué)歷��,只要會(huì)上網(wǎng)�、會(huì)打字�,一天包賺XXXXX。當(dāng)然其中除了打碼平臺(tái)�,還有很多騙子。 可以打碼的類型包括: 1. 普通字母驗(yàn)證碼 2. 中文驗(yàn)證碼 3. 鼠標(biāo)類型類驗(yàn)證碼 4. 選擇題類型(比如某些網(wǎng)游中做任何會(huì)遇到的驗(yàn)證碼) 5. 旋轉(zhuǎn)類驗(yàn)證碼 6. 知識(shí)常識(shí)問答型驗(yàn)證碼 以上驗(yàn)證碼的價(jià)格在平臺(tái)上都是明碼標(biāo)價(jià)���,普通的字母驗(yàn)證碼1條在1分錢左右�,而知識(shí)問答類在6分錢左右��,相較于利用這些灰產(chǎn)所會(huì)產(chǎn)生的利益����,真是件美物廉,重點(diǎn)是還非常穩(wěn)定�。 同時(shí)我注意到國外的價(jià)格現(xiàn)在與國內(nèi)的價(jià)格已經(jīng)相差不大,現(xiàn)在美國的價(jià)錢約為$1.5/1000�,美國的打碼工已經(jīng)向東南亞擴(kuò)展。打碼平臺(tái)一出現(xiàn)����,2.2中提到的加強(qiáng)驗(yàn)證碼的方法都無用了。因?yàn)椴还苣阍趺醋兓?,?yàn)證碼總需要是人類能夠通過的。 0×5 新的征程 打碼平臺(tái)的出現(xiàn)����,雖然沒有從理論上打破CAPTCHA的原則,但是也從事實(shí)上擊破了防止程序自動(dòng)提交的防御���,因此我們需要新型的安全的驗(yàn)證方式�����。這些探索也帶來了現(xiàn)在各種多樣的驗(yàn)證碼形式�����,這些我們將在下篇探討�。 最后用一個(gè)“富有情懷”的圖片結(jié)束。  這張圖不是來自改變世界的極客���,也不是來自富有愛心的藝術(shù)家�����。它來自某知名打碼平臺(tái)的官網(wǎng)��,是不是太有情懷了?(你們的確改變了我們的工作方式) 面對這樣的情懷���,我想我現(xiàn)在只能做一件事情。  * 作者/bbdog(阿里安全研究實(shí)驗(yàn)室)■ 注:本文轉(zhuǎn)載自其它媒體�,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)����。
|
