驗證碼的識別與攻防

黃泊

摘要：隨著網絡技術的發展，信息安全問題也不容小覷，大量的羊毛黨依靠網絡信息安全漏洞竊取商家勞動成果，為電商帶來經濟上的損失，基于此，本文研究了驗證碼的識別與攻防。

關鍵詞：驗證碼;電商網站;羊毛黨

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2020）02-0195-02

0 引言

近年來，電商網絡安全問題屢見不鮮，前段時間沸沸揚揚的果小云事件給各大電商們上了生動的一課，保護電商們的合法利益勢在必行。每年的11月11日，儼然成為了大眾的購物狂歡節，制定如此多的營銷活動，很有可能由于忙中出亂而導致的信息紕漏，這無疑給了羊毛黨可趁之際。因此，加強驗證碼識別與攻防工作，為電商合法利益筑起最后一道屏障。

1 驗證碼特征分析

1.1 驗證碼的特征

（1）驗證碼由計算機系統生成。（2）驗證碼的識別難度在普通人的認知范圍之內。計算機系統所生成驗證碼難度識別范圍應是常人直接理解的，而且要求人能夠快速識別信息并解決它。如果計算機給予一個專業性較強的學術型問題讓作為驗證碼讓辨認者識別，即使是合法訪問該網站也無法獲得進入權限，那么驗證碼也就失去了其存在的實用價值。（3）計算機很難自動識別驗證碼。計算機無法推斷出驗證碼驗證公式，即使是最簡單低級的驗證碼。驗證碼和驗證信息集合范圍必須足夠大，這樣計算機就無法通過幾率事件識別驗證碼;驗證碼算法是公開的，以此其算法應該具備單向陷門函數特征，避免出現計算機識別驗證方式。

1.2 驗證碼的形式化定義

當前而言，學術界對于驗證碼定義、分類及理解并未形成統一的認知，不同學者對于同種類型驗證碼的定義和描述也各不相同。從驗證碼特征來看，最貼切的定義為由計算機內部系統生成，防止計算機惡意入侵而人能夠輕松識別的一種驗證方式。

驗證碼的通用表達方式為（i，c，f）。其中i代表著驗證碼的集合范圍;c代表驗證碼驗證方式集合;f表示i到c的一對映射。為了降低計算機驗證識別的幾率，在人能夠識別認知范圍之內，可適當擴大驗證碼的集合范圍，這樣一來就避免計算機猜測識別認證的出現。假設i中存在n個元素，而被計算機隨機猜中的概率則為1/n，那么在合理范圍內無限擴大i，計算機破解幾率也會相應降低;c中的元素需要簡單的判斷力才能識別出來，計算機缺乏感性思想因而無法輕易識別;f是陷門函數，存在目的在于為了避免計算機根據c中元素猜測出i中的元素。

2 驗證碼分類及其攻防對策研究

2.1 信息類型分類及其攻防對策

（1）正文驗證碼是計算機系統自主生成的一串圖文，需要辨別者甄別圖文中特定的文字。該驗證碼的攻擊關鍵在于將圖文中的字符與背景分離，并利用OCR技術或ASR技術，達到破解驗證碼的目的。想要提高正文驗證碼識別難度，可利用各種扭曲變形圖案增強文字背景辨別難度，從而提高此類驗證碼安全性。（2）圖像驗證碼是計算機從內部系統中隨機選擇的一副圖像作為驗證手段，辨別者需從圖像中甄別特定圖像信息，該驗證答案并不統一，只適用于特定的驗證中。由于該驗證方式答案較為集中，僅有為數不多的答案供辨別著參考，容易受到猜測攻擊。想要提高此類驗證方式識別難度，讓辨別者點擊圖像中包含的特定對象，減少猜測手段的使用。（3）圖形驗證碼是計算機從內部系統中隨機選擇的一副圖片作為驗證手段，辨別者只需要甄選與組圖相關內容即可完成驗證。這種驗證手段的缺陷在于忽視了相似性對比的考量。想要提高此類驗證方式的辨別難度，可為辨別者提供一組多種類型的圖形，并讓辨別者從中篩選出特定類型的圖片。圖形驗證碼對計算機圖形庫的儲存量有一定要求，以確保將圖形選擇重復率降至最低。（4）視頻驗證碼是計算機從內部系統中選擇一段視頻作為驗證手段，辨別者只有回答出與視頻相關內容才能夠完成驗證。這種驗證方式目前并不常見，通過播放一段視頻，要求辨別者回答視頻中的所發生的的事件、或視頻中人物之間的關系等。（5）音頻驗證碼是計算機中從內部系統中選擇一段音頻作為驗證手段，辨別者通過重復音頻中特定的語句完成驗證，ASR技術對此類驗證方式存在很大的威脅。想要提高此類驗證方式識別難度，可用語言相關信息作為驗證手段，如講述一道簡單的數學題，讓辨別者輸入正確答案[2]。

2.2 識別方式分類及其攻防對策

以識別方式為分類依據，驗證碼可分為顯性驗證碼與隱性驗證碼兩類。顯性驗證碼又名直接驗證碼，可以讓辨別者直接從圖形文字中提取關鍵信息。隱性驗證碼是需要辨別者根據所提供的圖形文字甄選特定信息，例如有些驗證碼為計算機系統中的生成圖形，辨別者需要將圖形旋轉至正確方向。從當前已有的驗證方式看，音頻驗證安全性最高。

3 驗證碼通用攻擊及其對策研究

3.1 驗證碼的通用攻擊

除了各類技術攻擊，人為攻擊驗證碼也十分普遍，常見的有代理人及走私攻擊。代理人攻擊是指攻擊者借助某用戶訪問該網站的請求完成自己攻擊目的，利用網站用戶破解驗證碼，使用戶在無意中幫助攻擊者完成識別。走私攻擊是指攻擊者在其控制僵尸網絡的僵尸中注入相關的惡意代碼插件，當僵尸用戶瀏覽網頁或申請某種服務的過程中，攻擊者在認為合理的用戶操作前攔截其網絡交互，然后發給僵尸用戶一個攻擊者需要解決的驗證碼，使用戶以為是正常服務網站的驗證碼，并幫助攻擊者完成驗證。這兩類驗證碼攻擊方式都屬于借助他人之手完成驗證需求，但依靠計算機系統很難解決這類人為攻擊手段。可見，當前驗證碼面臨的攻擊是來自多方面的，因此驗證碼的完善與改進還有很長的路要求。

3.2 動態驗證碼對策

動態驗證碼需要計算機系統與辨別者雙方間的信息互動，很大程度上避免了機器代輸驗證碼狀況，有較強的的抵御分類攻擊的能力。能否有效抵御代理人及走私攻擊，應確保交互驗證的程序不會被轉發至第三方。因此在用戶進入某個網站時，網站服務器首先應獲取該計算機用戶的IP地址等相關信息，確保驗證信息不會傳達至陌生IP地址。這樣一來，即使第三方IP地址收到驗證信息也會因為IP地址不符而無法通過驗證。

3.3 隱性驗證碼對策

在設置隱性驗證碼時，盡量要求辨別者通過音頻或圖像表面現場傳達深層次的含義，避免出現過于直觀的暗示或解讀。語言內涵豐富，情感復雜，是智能人工系統無法觸及的領域，因此將語義規則作為驗證手段，能夠有效抵御計算機技術的攻擊，另外，Cookie機制的應用也不失為一種有效的防御手段。

4 結語

總之，對于電商而言，驗證碼的識別與攻防難度直接關乎到他們的切身利益。網絡購物的特點是發展速度快、時間短，目前并未有完善法律措施維護電商們的利益，羊毛黨的無孔不入使電商蒙受巨大的經濟損失，因此，提高驗證碼識別難度，針對相應的攻擊手段完善技術缺陷是十分有必要的。

參考文獻

[1] 張會奇.驗證碼識別的FCM改進算法研究[J].福建電腦，2019（10）：31-33.

[2] 湯戰勇，田超雄，葉貴鑫，等.一種基于條件生成式對抗網絡的文本類驗證碼識別方法[J/OL].計算機學報，2019：1-18[2020-02-03].

Identification Attack and Defense of? Verification Code

——Take the E-commerce Website to Prevent the Wool Party as an Example

HUANG Bo

（Heyuan Open University， Heyuan? Guangdong? 517000）

Abstract：With the development of network technology， the problem of information security should not be underestimated， a large number of wool parties rely on the loopholes of network information security to steal the labor achievements of businesses and bring economic losses to e-commerce， based on this， this paper studies the identification， attack and defense of verification code.

Key words：verification code; e-commerce website; wool party