验证码技术是目前很多WEB程序采用的一种安全防御技术系统在登录的时候不但要输出用户名和密码还要额外输入一种随机生成的验证码文本此时用户需要正确的输入这三个信息才能登录到系统中
由于验证码技术能有效的抵御某些黑客攻击因此得到相当广泛的应用而且在一些C/S系统中也采用了这种源自WEB开发的技术
验证码原理
在现在的软件运行环境下安全成为大部分软件必须考虑的问题黑客无处不在攻击方式日益丰富尤其是WEB系统由于其开放性更是遇到严峻的考验黑客事件层出不穷造成的损失和影响也不断变大对此我们软件开发人员需要对此有相当的认识并采取措施抵御各种黑客攻击
枚举字典安全攻击
在各种黑客攻击中很常见的就是套取用户名和密码其中很多是采用枚举字典的方式来不断的测试用户名和密码
)thisstylewidth=; twffan=done>图
比如某黑客获得一银行账号然后打开账号的开户银行的网上银行登录界面分析其中的HTML代码发现其页面粗制滥造没有验证码没有任何安全控制只要求输入银行账号和取款密码就可以登录黑客心中大喜马上写了一个程序直接调用HTTP协议使用程序来模拟浏览器向网上银行服务器提交账号和密码尝试登录由于取款密码是位阿拉伯数字因此也就有一百万种组合黑客的电脑从六个零开始测试一直到六个九这一定会测试出真正的密码黑客找到一台宽带高速上网的电脑运行套取取款密码程序后就忙其他事了假设这台电脑秒能测试个密码于是花费万秒的时间肯定能找到密码万秒也就是小时一天多点的时间实际上很可能用不了那么长的时间黑客外头转了一圈回来发现密码已经找到了于是马上登录网上银行捞钱或者伪造一个银行卡去ATM机上提取现金也就是说黑客最多花了一天时间即可获得数目不可预知的非法收入
验证码防御
网上银行可以有很多手段来抵御黑客攻击比如使用ActiveX控件代替标准的文本框来输入账号和密码可以使用USB接口的密码盘来进行数据加密和检测或者使用一个客户端程序代替浏览器来登录网上银行但这些是客户端技术千千万万的黑客可以操着各种手术刀来解剖这些技术从根本上说客户端技术是不可靠的
相对而言采用服务器端技术就比较安全了比如发现密码连续错误次即锁定账户天后才能登录也可以使用验证码技术来很大程度的抵御枚举字典套取密码的攻击
现有一个新的网上银行和旧网银差不多但采用了验证码技术用户登录时除了要输入账号和取款密码浏览器还显示一个图片里面显示了一些潦草的字符用户需要辨认这些字符然后再输入进去浏览器向服务器提交表单时会附加用户输入的验证码服务器接受表单数据后除了校验账号和取款密码后还要检查验证码是否输入正确若登录信息校验失败则服务器端则会提示重新登录而且还生成包含随机内容的新的验证码用户在次登录时又得重新识别新的验证码了
由于正确的验证码文本是保存在服务器上的客户端的黑客程序不可能获得验证码的内容是随机的黑客程序也无法找到规律只能辨认从服务器端发出的包含验证码的图片来获得验证码这里就体现了电脑和人脑的差别了人脑在图形识别方面远远超过了目前的电脑服务器端使用一些技术生成的书写潦草充满随机分布的杂点的图片人脑是可以相当容易的识别的但目前的电脑是难以识别的黑客程序无法识别验证码只能显示图片让黑客亲自辨认这时每测试一次密码黑客都得仔细辨认一下验证码图片然后手工输入验证码文本最多要输入一百万次估计全世界没人会愿意进行这样的工作这样验证码技术就有效的抵御了这种枚举字典测试密码的安全攻击此时黑客会转而寻找其他方法而大量的初级黑客会放弃攻击这个网站
验证码技术概念
验证码技术利用了人脑和电脑之间的差别
大家都知道电脑和人脑是存在很大的差别的电脑很胜任数值运算和精确的逻辑判断很适合执行那些重复又重复的简单数据处理但图像识别模糊逻辑判断学习和创新能力很差而人脑正好相反数值运算不行但图像识别却很擅长
在验证码技术中有一个很关键的过程就是需要从一个充满随机形状的图片中辨认出验证码文本这个过程目前的电脑是难以实现的而对人脑却能相当容易
采用电脑难于识别而人脑容易识别的图片强迫人脑参与安全信息验证过程就是验证码技术这里包含验证码文本的图片是验证码媒介仔细观察我们可以知道这种验证码媒介具有电脑创建容易识别难的特点因此类似的我们也可以采用合成语音等其他手段来作为验证码媒介例如服务器提供一个类似QQ表情的图片加上噪声然后让用户判断选择这个图片的表情状态是哭是笑还是流鼻血这样也可以当作验证码
由于枚举字典安全攻击需要大数量的尝试猜测安全信息其重复过程可能需要数万甚至数亿次而验证码技术强迫了人脑参与每一次尝试猜测安全信息人脑难以胜任长时间高频率的简单重复劳动因此这就使得枚举字典安全攻击变得不可行如此应用程序成功的防御了枚举字典安全攻击
ASPNET中使用验证码技术
由于验证码技术中服务器程序需要创建验证码图片里面用到了图形编程因此本节课程仍然是C#发现之旅的图形编程系列教程
根据验证码的原理我们使用C#在ASPNET中实现了验证码的功能
checkimageaspx
首先根据上节课程的内容我们要创建一个图片服务页面专门用于提供包含验证码文本的图片为此我们建立一个 checkimageaspx 的页面其HTML代码很简单只有一行不输出任何内容在其Page_Load方法中就有创建验证码图片的过程 cellPadding= width=% align=center bgColor=#ffffff border=> // 创建一个包含随机内容的验证码文本
SystemRandom rand = new Random();
int len = randNext( );
char[] chars = ABCDEFGHIJKLMNOPQRSTUVWXYZToCharArray();
SystemTextStringBuilder myStr = new SystemTextStringBuilder();
for( int iCount = ; iCount < len ; iCount ++ )
{
myStrAppend( chars[ randNext( charsLength )]);
}
string text = myStrToString();
// 保存验证码到 session 中以便其他模块使用
thisSession[checkcode] = text ;
Size ImageSize = SizeEmpty ;
Font myFont = new Font(MS Sans Serif );
// 计算验证码图片大小
using( Bitmap bmp = new Bitmap( ))
{
using( Graphics g = GraphicsFromImage( bmp ))
{
SizeF size = gMeasureString( text myFont );
ImageSizeWidth = ( int ) sizeWidth + ;
ImageSizeHeight = ( int ) sizeHeight + ;
}
}
// 创建验证码图片
using( Bitmap bmp = new Bitmap( ImageSizeWidth ImageSizeHeight ))
{
// 绘制验证码文本
using( Graphics g = GraphicsFromImage( bmp ))
{
gClear( ColorWhite );
using( StringFormat f = new StringFormat())
{
fAlignment = StringAlignmentNear ;
fLineAlignment = StringAlignmentCenter ;
fFormatFlags = StringFormatFlagsNoWrap ;
gDrawString(
text
myFont
BrushesBlack
new RectangleF(
ImageSizeWidth
ImageSizeHeight )
f );
}//using
}//using
// 制造噪声 杂点面积占图片面积的 %
int num = ImageSizeWidth * ImageSizeHeight * / ;
for( int iCount = ; iCount < num ; iCount ++ )
{
// 在随机的位置使用随机的颜色设置图片的像素
int x = randNext( ImageSizeWidth );
int y = randNext( ImageSizeHeight );
int r = randNext( );
int g = randNext( );
int b = randNext( );
Color c = ColorFromArgb( r g b );
bmpSetPixel( x y c );
}//for
// 输出图片
SystemIOMemoryStream ms = new SystemIOMemoryStream();
bmpSave( ms SystemDrawingImagingImageFormatPng );
thisResponseContentType = image/png;
msWriteTo( thisResponseOutputStream );
msClose();
}//using
myFontDispose();
首先我们使用NET框架中随机数生成器 Random类型来生成一个不定长的包含随机数字和英文字符的文本这就是验证码原始文本我们将其保存在session中供以后使用
然后我们创建一个临时图片并据此创建一个临时的图象绘制对象然后调用Graphics的MeasureString函数获得这个字符串的显示大小据此我们就可以计算出验证码图片的大小
然后我们创建一个位图对象在此基础上创建一个图形绘制对象然后调用图形绘制对象的DrawString函数将验证码文本绘制在这个位图上
绘制验证码后我们在图片上随机的制造杂点来混淆图片内容这些杂点的面积占图片面积的%而且其位置和颜色都是随机的这些杂点能严重的干扰程序辨认验证码文本但人脑在辨认文本时能比较轻松的排除这些干扰
图片生成后页面就使用PNG格式将图片文档发送到客户端
checkimageaspx还提供了一个静态函数来检测验证码 cellPadding= width=% align=center bgColor=#ffffff border=> ///
/// 检查指定的文本是否匹配验证码
///
/// 要判断的文本
/// 是否匹配
public static bool CheckCode( string text )
{
string txt = SystemWebHttpContextCurrentSession[checkcode] as string ;
return text == txt ;
}
代码很简单就是看看参数传进的文本是否等于 session 中保存的验证码文本其他的页面程序调用这个函数就可以判断验证码的正确性
loginaspx
验证码图片服务页面完成后我们就可以利用这个页面来实现验证码技术我们建立一个模拟系统登录的页面
borderColorDark=#ffffff align=center bgColor=#ddddd borderColorLight=# border=>image onmousewheel=javascript:return big(this) src=http://imgeducitycn/img_///gif onload=javascript:if(thiswidth>)thisstylewidth=; twffan=done>图
上面放置输入用户名密码和验证码的三个文本输入框其中验证码输入框后面放置一个图片图片就来源于checkimageaspx页面用户输入三个信息后点击确定按钮进行登录则运行该按钮的服务器段代码 cellPadding= width=% align=center bgColor=#ffffff border=> private void cmdOK_Click(object sender SystemEventArgs e)
{
string UserName = thistxtUserNameText ;
string Password = thistxtPasswordText ;
string CheckCode = thistxtCheckCodeText ;
if( UserName == 张三
&& Password == abc
&& checkimageCheckCode( CheckCode ) )
{
thislblResultText = 登录成功;
thisRegisterStartupScript(a );
}
else
{
thislblResultText = 用户登录信息错误请重新输入;
}
}
在该代码中程序获得用户输入的用户名密码和验证码然后判断用户名密码是否正确还调用checkimage的静态函数CheckCode来判断验证码是否正确只有这三个信息都正确则登录成功否则登录失败
在少数情况下程序生成的验证码图片难以辨认则需要重新提供新的验证码图片此时我们在登录页面中可以双击这个图片来更新验证码图片显示验证码图片的HTML代码片断为
title=看不清楚双击图片换一张
ondblclick=thissrc = checkimageaspx?flag= + Mathrandom()
border=>
可以看到 ondblclick 事件处理中更新了图片来源这里使用了一个毫无意义的flag页面参数这是保证浏览器不会使用本地缓存的验证码图片而是下载最新的验证码图片
用户双击图片后浏览器重新调用checkimageaspx页面于是服务器端的验证码文本用了新的而图片内容也随之更新
由于每次尝试登录或更换验证码图片时正确的验证码都是随机的发生改变毫无规律这样就很大的增强了登录页面的安全性但这样做会让用户登录时需要辨认和输入验证码这会降低应用程序的可用性因此是否使用验证码技术是需要多方面权衡的
小结
在本次课程中我们一起研究了验证码技术的原理并使用C#在ASPNET中实现了简单的验证码技术验证码技术是一种安全防御技术其中使用了一定的图形编程这样看来图形编程应用是广泛的可以为很多其他的技术提供支持
