- 前言
- 本次内容为真实技术交流事件复盘
1.jpg
- 提到滑块验证码,所有人都有过这样的操作
- 拖动滑块对齐缺口,看到验证成功就以为完成了全部流程
- 但如果你真的觉得,滑块验证码的核心就是缺口对齐,那只能说你太不懂它的安全逻辑
- 滑块验证码的关键从来不是对齐这个表面动作,而是藏在背后、全程监控的行为验证
- 缺口对齐不过是给用户的幌子,真正的验证从你触碰滑块之前就已启动
- 宿主(卟言)日常浏览技术博客,在评论区与博主交流行为验证相关方案
- 该博主发布了一款自研滑块验证,并宣称其比以前的 扭曲字符串 验证码技术更先进、安全性更高
- 经分析,该滑块仅实现缺口位置检测,无行为轨迹,行为校验、无干扰策略等行为分析
- 他这个傻逼还发博客说为用几个小时就开发出来了,他妈的智障就一个缺口匹配
- 他妈的傻逼还说什么怎么样都比以前的复杂,复杂个几把,这个傻逼都不知道
- 边缘检测、模板匹配等基础方式即可识别,使用 带带弟弟(DDDD) 等Python库即可轻松过验证
- 跟以前的OCR比较起来更加快了,为什么?很明显我很久之前就为一个开源项目免费提供了一个OCR接口
- API查询接口里面那个OCR就是为了给另外一个开源项目使用的
- 现在也是一直稳定运行,OCR起码还需要模型,他这这个玩意随随便便调用个库就行了,轻轻松松识别
- yolo都不带用的,然后你看这个傻逼还说逼得你要用大模型了这个傻逼没给我笑死了
- 他妈的去GitHub去搜一下,就你这个逼玩意用个库轻轻松松破解
- 然后他还说什么
- 重试密码也只有五次,绕过去了密码也登入不进去
- 说封ip,用ip肉机安装大模型
- 这傻逼真是个智障,根本不懂技术
- 真以为自己牛逼了不起,结果不过是个笑话
- 这种人真是让人无语
- 首先提前说明一点,看我发布的评论我说的是验证码的安全性,他这个蠢货说他密码有多安全
- 第一:ip肉机?这个蠢货不知道ip代理池嘛?网上搜索一些一堆免费的,这个傻逼居然不知道
- 第二:肉机安装大模型?我他妈的都说了调个库轻轻松松就识别
- ip代理请求都不需要多少代码
import requests proxies = { 'http': 'http://109.74.194.146:10303', 'https': 'https://109.74.194.146:10303' } headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36', 'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8', 'Accept-Language': 'zh-CN,zh;q=0.9,en;q=0.8', 'Accept-Encoding': 'gzip, deflate, br', 'Connection': 'keep-alive', 'Upgrade-Insecure-Requests': '1', 'Sec-Fetch-Dest': 'document', 'Sec-Fetch-Mode': 'navigate', 'Sec-Fetch-Site': 'none', 'Sec-Fetch-User': '?1' } try: response = requests.get( url='https://cn.bing.com', proxies=proxies, headers=headers, timeout=5 ) print(response.status_code) except requests.exceptions.ProxyError as e: print(e) except requests.exceptions.Timeout: print("Timeout") except requests.exceptions.RequestException as e: print(e)- 这只是一个简单的,真真正正攻击会直接用进程进行并发请求,我这还只是单次请求
- 如果我几千个ip,一个ip五次,那就是几万个请求
- 然后他这个傻逼不是还说肉机安装大模型,我直接本地识别出来几万个并发,轻轻松松搞死你
- 他说的这个没什么问题,但是他就一个缺口对齐的垃圾验证拉高了破解的成本?
- 我上面也说了就调个库就行了,还不如以前的扭曲字符串起码他还真真正正的要大模型
- 现在这种滑块验证缺口对齐这是其中非常小的验证手段罢了
- 然后你看这个傻逼是谁在自娱自乐都不知道,我一直说的就是验证码的功能
- 他还说我自嗨,我他妈就说了两次这个脑残说什么不感兴趣,然后这个傻逼还回复我一堆信息
- 谁他妈自娱自乐?还他妈呢孙子,这个狗吊,看我上面图片5说的什么我他妈开着直播是可以轻轻松松破解验证码
- 他这个傻逼还一直说什么破解密码,然后这个傻逼还说什么我直播中手写出来破解要直播多久
- 就他妈你他妈的个垃圾服务器也配我去破解,一分不值!
- 首先我说清楚,我真真正正的在哔哩哔哩直播,并且是经常直播
- 并且并且很多时候不是直播写代码就是在逆向,破解你那个垃圾验证码不是轻轻松松
- 跟他妈的这种傻逼说话,他那个脑子都不知道里面有多少狗屎
- 交流过程中,博主多次偏离核心话题,反复强调:
-
1. 登录 5 次失败会封 IP
2. 必须使用大量 IP 肉机
3. 需要在肉机上部署大模型 - 宿主(卟言)多次进行技术科普
-
1. 破解此类简单滑块不需要肉机
2. IP 可通过代理、ADSL 拨号等方式轻松切换
3. 需要在肉机上部署大模型 - 我其实只是告诉他
-
1. 验证码的安全性和密码的安全性是两回事,验证码的作用是防止恶意攻击,而不是保护用户密码
2. 他的验证码只是一个简单的缺口对齐,并没有真正的行为验证,安全性非常低
3. 他的验证码很容易被边缘检测、模板匹配等基础方法破解,甚至不需要大模型,使用Python库就能轻松识别
4. 他的验证码没有任何干扰策略,攻击者可以轻松绕过重试限制,使用IP代理池进行大规模攻击
5. 他的验证码根本没有提高破解成本,反而因为缺口对齐的简单性降低了安全性
6. 他的验证码只是一个幌子,真正的验证应该是全程监控用户行为,从触碰滑块开始就启动验证,而不是仅仅依赖于缺口对齐这个表面动作
7. 他的验证码根本不具备任何安全性,甚至比以前的扭曲字符串验证码还要差,因为扭曲字符串至少需要大模型进行识别,而他的验证码只需要简单的图像处理库就能破解
- 高并发发包可依靠Python协程与新版本性能优化实现
- 可以使用分布式爬虫框架,如Scrapy、Frameless等,轻松实现高并发请求
- 并且我在图片3中明确的还说了这个图库也是需要进行更新,以及破解的方法
- 我一直都回复的也没有暴力问候他妈的这个狗吊
- 再说了你他妈那个评论区的数字图片验证码,都这么简单的玩意,显示的时候卡的跟你妈狗屎一样
- 一个图片验证码都做的怎么垃圾的玩意,也难怪他这个脑子可以好到哪里去
- 之前评论区都有人说他那个数字验证码图片卡的一批,他那个傻逼修复了跟几把
- 短视频都不知道多少人发过现在的行为验证码原理了,跟个傻逼一样半半拉拉
- 就他妈的解释两句话,这傻逼回复一堆信息给我,我看见他是脑残后我就不发了
- 这个傻逼还一直回复,还说什么没有兴趣,说我他妈解释给他听是自娱自乐
- 他妈的傻逼,没兴趣一直回复我,我回复了后面他这样子说我都懒得回复了
- 真特么傻逼的脑残,好像我收你钱了一样,发现有时候不要去跟这种傻逼讨论才是真的正确
- 怪不得现在很多博客评论区都关闭了,或者是大家评论区都是很努力,有意思,好腻害等
- 看法都不敢发布了,就是怕这种脑残,只能发一些繁衍的话
- 就他妈的解释给他听,他这个傻逼都觉得自己是正确的
- 还有就是广告垃圾了
- 看一下我发到网安群里面的
- 群内网络安全、爬虫领域从业者均表示:该验证强度极低,无需YOLO、无需大模型,更无需肉机部署
- 这个傻逼可能连YOLO是什么都不知道,毕竟说他那破玩意用用大模型识别破解的傻逼
- 有时候你会发现比如像我上面的图3就说了,对不一定不通过
- 行为不合理一定不通过,为什么GitHub已经有库来实现识别缺口位置了
- 那么GitHub上还有专门对于某个企业的验证码?
- 观察就会发现机器能对齐缺口,既然机器能对齐缺口,为什么还是过不了?
- 缺口对齐是必要不充分条件对齐缺口,只是完成验证的第一步,真正决定能否通过的,是你的行为轨迹是否符合真人特征
- 哪怕你对齐了缺口,系统依然会判定你为机器,验证失败
- 所有验证码的本质,是区分“真人”和“机器脚本”
- 而目前市面上的滑块验证区分的核心依据,就是行为特征,绝非缺口是否对齐
- 我在我用了一个月的时间开发了个行为验证的组件以及我开发了新一代的无感验证中就已经强调过了
- 机器脚本能轻松计算缺口坐标、实现像素级对齐
- 但它们永远过不了行为验证这一关,因为机器没有真人的行为痕迹和随机性
- 什么是行为验证?
- 行为验证是通过分析用户的行为特征来判断其是否为真人的一种验证方式
- 它通常会记录用户的鼠标轨迹、点击节奏、滑动速度等信息
- 通过这些信息,系统可以判断用户的行为是否符合真人的特征
- 如果行为特征与真人不符,验证将被判定为失败
- 因此,行为验证的核心在于对用户行为的深度分析和理解
- 简单说,就是系统会全程捕捉你拖动滑块的完整行为,每一个细微动作都在被分析,以此判断你是真人还是机器
- 比如点击了哪里,页面加载了什么,按压 / 抬起事件,鼠标 / 触控轨迹,环境 & 设备分,威胁情报,信用历史
- 点击滑块的力度、起始速度,到拖动过程中的加速度变化、是否有短暂停顿、接近缺口时是否会微调
- 甚至是你点击滑块前,鼠标的移动轨迹、停留位置等都会被系统采集比对
- 你在页面上做的全部行为都会记录
- 除此之外,行为验证还会结合设备环境、浏览器指纹、IP地址等辅助信息,进一步提升安全性
- 比如说IP威胁情报,风控引擎等
- 这些信息可以帮助系统更好地识别潜在的攻击行为
- 通过综合分析用户的行为特征和环境信息,系统可以有效提高验证的准确性
- 因此,行为验证不仅仅依赖于单一的验证方式,而是多种手段的结合
- 这也是为什么目前的验证码系统越来越简单,但是安全性不断提升的原因
- 总结
- 本次事件仅为客观展示
- 真正安全的行为验证,需要包含轨迹检测、行为分析、环境校验、组合验证等多层防御,而不是单一缺口判断
- 总结来说,滑块验证码的安全核心,从头到尾都是行为验证,缺口对齐只是给用户的直观操作提示,毫无安全意义
- 那些觉得只要对齐缺口就能通过的人,不过是只看到了冰山一角,忽略了背后最关键的行为识别逻辑
- 人生不是怕坏人,第一个防范就是精神病或者说脑子有问题的智障脑残做事情,解释事情
- 滑块验证码的便捷性,在于让真人能轻松完成操作;而它的安全性,就在于用行为验证
- 死死挡住所有机械的机器脚本——这才是它被广泛应用的根本原因
- 下次再拖动滑块,别再纠结有没有对齐缺口了,你每一个细微的拖动动作,都是在向系统证明你是真人
- 这才是滑块验证码真正的安全核心,也是机器永远无法复制的关键
【滑块验证码更加安全?真的只是缺口对齐就通过了?只有蠢货才这么想!】
qaq卟言
闲聊
完结
回复给❌取消回复