图形验证码安全

图形验证码

图形验证码的作用和原理

图形验证码的分类

图形验证码的验证过程

图形验证码的安全问题

静态图形验证码的破解

利用Python脚本破解静态图形验证码

图形验证码

我们经常在登录app或者网页的时候，都会需要我们输入图形验证码上的内容，以验证登录。有些是纯数字的图形验证码，有些是字母和数字，有些是图案，有些是数学表达式......不同的网站，采用的图形验证码的形式也不一样。那么，图形验证码到底是什么呢？

图形验证码是验证码的一种。验证码（CAPTCHA）是 “Completely Automated Public Turing test to tell Computers and Humans Apart”（全自动区分计算机和人类的图灵测试）的缩写，是一种区分用户是计算机还是人的公共全自动程序。

图形验证码的作用和原理

作用：图形验证码的主要作用是强制进行人机交互，以此来抵御机器自动化攻击，可以防止恶意破解密码、刷票、论坛灌水，有效防止黑客对某一个特定注册用户用特定程序暴力破解进行不断的登陆尝试。

原理：图形验证码的问题可以由计算机生成并评判，但是必须只有人类才能解答。由于计算机无法解答CAPTCHA的问题，所以回答出问题的用户就可以被认为是人类。

图形验证码的分类

图形验证码是现在大多数网站登录通行的方式。不同的网站，由于其安全级别不一样，网站开发人员掌握的技术不一样，使用的图形验证码的种类也不一样。大体上，图形验证码可以分为以下几类：

传统图形验证码
广告型的图形验证码
滑动验证码
图标选择与行为辅助验证码
点击式的图文验证与行为辅助
智能验证码
语音验证码

传统图形验证码
主要是通过用户输入图片中的字母、数字、汉字等进行验证。
代表：大多数网站采用此种验证形式。
特点：简单易操作，人机交互性较好。但安全系数低，容易被破解。

广告型的图形验证码
有精美图案，识别文本也清晰可认，专注于广告。
代表：Solve Media，宇初验证码
特点：与其说是验证码，倒不如说是广告位。

滑动验证码
按要求将备选碎片滑动到正确的位置，或者滑动图标到末尾
代表：极验验证码
特点：操作简单，体验好。单一纬度，容易被逆向模拟，与移动端页面切换不兼容。

图标选择与行为辅助
给出一组图片，按要求点击其中指定的一张或者多张图片。
代表：点触验证码、Google新型验证码、12306验证码
特点：安全性强，对于图片、图库、技术要求高。

点击式的图文验证与行为辅助
通过文字提醒用户点击图中相同字或者相同图标的位置进行验证。
代表：淘宝新型验证码、点触验证码
特点：操作简单，体验良好，单一图片区域较大，破解难度大。

智能验证码
通过行为特征、设备指纹、数据风控等技术，正常用户免验证，异常用户强制验证
代表：点触智能验证码，支付宝验证码
特点：简单便捷，区分人与机器、人与人、设备与设备

语音验证码
通过机器客服给你打电话，告诉你验证码
代表：滴滴验证码，易到验证码
特点：需要接听客服电话，体验较差，无法破解

图形验证码的验证过程

我们访问一个网站的登录页面
服务器端响应并创建一个新的Session ID，同时生成一个随机图形验证码，服务器端有该Sessino ID对应图形验证码的答案
服务器端将该Session ID和图形验证码发送给客户端
客户端填写登录表单，并且填入该图形验证码的答案
服务器端收到用户提交的登录数据，取出Session ID与图形验证码的答案，并且与服务器端相同Session ID的图形验证码答案做比较，如果相同，再判断提交表单的用户名，密码等其他信息。如果图形验证码错误，随即返回验证码错误

注意：这里需要注意的是，Session ID销毁的条件是用户提交的图形验证码和用户名密码等其他信息正确，即登录成功，或者是用户手动刷新验证码