日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
PHP安全:人機(jī)識別策略

人機(jī)識別策略是區(qū)分正常用戶與惡意攻擊者的重要保障機(jī)制。在沒有人機(jī)識別的情況下,攻擊者很容易就能對密碼進(jìn)行暴力破解或者用一個(gè)通用密碼對用戶進(jìn)行暴力破解,導(dǎo)致在許多場景中不得不降低用戶體驗(yàn)。增加人機(jī)識別策略,可防止惡意攻擊者暴力破解數(shù)據(jù),并減輕服務(wù)器的壓力,例如更好地支持登錄注冊、密碼找回、支付、轉(zhuǎn)賬、論壇回帖,有效防范強(qiáng)刷頁面、刷票等。在項(xiàng)目中常用的人機(jī)識別方式有圖片驗(yàn)證碼、短信驗(yàn)證、語音驗(yàn)證、滑塊驗(yàn)證等。

1、圖片驗(yàn)證碼

圖片驗(yàn)證碼的形態(tài)多樣,主要有數(shù)字、字母、中文組合、計(jì)算題等,驗(yàn)證碼生成算法以及程序?qū)崿F(xiàn)流程上都有可能帶來問題,容易被攻擊者突破。

使用圖片驗(yàn)證碼要注意以下問題。

(1)驗(yàn)證碼的字符范圍要盡可能大,盡量使用字母、數(shù)字、漢字、符號組合的字符集,這種字符集比單純?yōu)閿?shù)字的字符集效果要好。

(2)盡量讓字符進(jìn)行變形、扭曲,或使用干擾性強(qiáng)的圖案,這樣能有效增加驗(yàn)證碼的識別難度,但這對人眼識別是基本無障礙的。

(3)防止暴力猜解,要對生成的每一個(gè)驗(yàn)證碼都設(shè)置有效期,驗(yàn)證碼驗(yàn)證失敗一次后一定要設(shè)置為失效,并重新生成新的驗(yàn)證碼。

(4)防止生成的驗(yàn)證碼返回到響應(yīng)中。比如研發(fā)人員忘記注釋掉調(diào)試信息,導(dǎo)致驗(yàn)證碼可能出現(xiàn)在響應(yīng)包中的Cookie、URL、頁面注釋中,甚至驗(yàn)證碼在展示的時(shí)候直接就是文本方式,這樣就完全失去了使用驗(yàn)證碼的價(jià)值。

(5)推薦使用CAPTCHA項(xiàng)目提供的人機(jī)識別驗(yàn)證碼。CAPTCHA提供一個(gè)PHP的驗(yàn)證碼生成類cool-php-captcha,可以通過GitHub下載得到。如圖1所示為CAPTCHA樣式示例。

圖1  CAPTCHA樣式示例

2、短信驗(yàn)證碼

短信驗(yàn)證碼的安全使用通常會(huì)遇到以下問題。

(1)短信炸彈。如果沒有進(jìn)行短信發(fā)送頻率限制,容易被利用來發(fā)送短信炸彈,騷擾用戶。

(2)經(jīng)濟(jì)損失。限制不嚴(yán)格容易造成短信浪費(fèi)。由于每條短信都需要給運(yùn)營商繳納費(fèi)用,因此會(huì)造成沒必要的經(jīng)濟(jì)損失。

(3)短信內(nèi)容注入。限制不嚴(yán)格容易被注入廣告內(nèi)容發(fā)送給用戶,不但會(huì)對用戶產(chǎn)生騷擾,而且會(huì)損失企業(yè)的信譽(yù)。

安全使用短信驗(yàn)證碼的解決方案如下。

(1)使用短信驗(yàn)證碼時(shí),在發(fā)送短信驗(yàn)證碼時(shí)一定要先進(jìn)行人機(jī)校驗(yàn),如校驗(yàn)圖形驗(yàn)證碼。

(2)限制單個(gè)手機(jī)號某個(gè)時(shí)段內(nèi)最多接收的短信數(shù)量,如根據(jù)業(yè)務(wù)需要每小時(shí)或每天最多發(fā)送五條,每分鐘最多發(fā)送一條。

(3)根據(jù)業(yè)務(wù)需求限制短信發(fā)送的時(shí)間段,如每天早9點(diǎn)以前、晚8點(diǎn)以后禁止發(fā)送短信。

(4)防止用戶直接或間接地自定義短信內(nèi)容,防止被用于發(fā)送廣告或非法內(nèi)容。

圖2是一個(gè)推薦的通用的短信驗(yàn)證碼發(fā)送校驗(yàn)流程。

圖2  短信發(fā)送檢驗(yàn)流程

3、語音驗(yàn)證碼

通過播放語音的方式將驗(yàn)證碼告訴用戶,用戶再將驗(yàn)證碼填寫至頁面中,提交給系統(tǒng)審核。如果用戶對圖形形式的驗(yàn)證碼識別有困難,建議使用語音形式的驗(yàn)證碼。語音認(rèn)證主要有以下三種形式。

(1)在認(rèn)證頁面進(jìn)行播放。通過Web頁面中的播放器將驗(yàn)證碼以語音方式播放出來。

(2)用戶主動(dòng)呼叫系統(tǒng)的預(yù)留電話獲取驗(yàn)證碼。這種方式良好地解決了操作終端對音頻設(shè)備的依賴,且更加私密,安全性高。

(3)由用戶觸發(fā),系統(tǒng)通過撥打用戶的綁定電話接聽驗(yàn)證碼。

使用語音驗(yàn)證的需要注意以下事項(xiàng)。

(1)使用語音驗(yàn)證碼時(shí),一定要先進(jìn)行圖形驗(yàn)證碼人機(jī)校驗(yàn)。

(2)對驗(yàn)證碼要進(jìn)行有效期的設(shè)置,在認(rèn)證失敗后將驗(yàn)證碼進(jìn)行失效處理,防止暴力猜解。

(3)防止頻繁請求,要限制單個(gè)用戶單個(gè)手機(jī)號在某個(gè)時(shí)間段的認(rèn)證次數(shù),失敗一定次數(shù)后應(yīng)該拒絕其認(rèn)證請求,避免騷擾用戶和造成資源浪費(fèi)。

4、其他驗(yàn)證方式

除了常見的圖片、短信、語音驗(yàn)證碼外,根據(jù)自己業(yè)務(wù)情況還可以選擇其他方式的人機(jī)驗(yàn)證,如圖片滑塊拖拽驗(yàn)證、文字按順序選擇在圖片上點(diǎn)擊、好友確認(rèn)等。


分享名稱:PHP安全:人機(jī)識別策略
文章轉(zhuǎn)載:http://www.dlmjj.cn/article/cdpjdjg.html