为什么(除了道德原因)没有更多的人使用其他网站的验证码作为他们自己的验证码,同时出售所述验证码的解决方案?
对我来说,这样的系统似乎很容易实现:
- 设置一个脚本,在另一个网站上执行某些操作,需要通过使用代理服务完成验证码
- 当您网站上的用户执行需要完成验证码的任务时,只需向他们提供其他人的验证码即可 网站请您解决
- 当用户解决验证码时,您的脚本可以在作为验证码来源的其他站点上执行所需的操作, 并且您网站上的用户也通过此过程进行了验证
这是家常便饭吗?如果不是,为什么不呢?如果有的话,可以做些什么来防止这种情况发生?
【问题讨论】:
标签: captcha
获取验证码。假设人们可以轻松地从外国主机获取验证码的确切视觉效果。为此,您必须通过推荐检查(大多数浏览器(由人工导航)允许发送 http_referer)。您还必须从hidden input 中保存session_id 和secret。
检查结果。 外部主机必须将保存的变量与与您的第一个请求的会话关联的变量链接起来,这需要您实现棘手的cURL 方法。您将不得不处理多个并行请求,所有这些请求都来自您的单个 IP。
与自己生成验证码相比,在外部主机上破解验证码时,您的服务器可能会使用更多资源。
预防
Location 标头字段,导致/path/success.html 或/path/tryagain.php
挑战:
我花了一点时间准备了一个例子:http://woisteinebank.de/test/
在此示例中,我将密钥附加到 session_id(); 并将其保存在数据库中。
通过session_regenerate_id();,我对每个请求都有一个新的会话。
在check.php 中,我将数据库值与$_GET 值进行比较。
试着想办法得到这个验证码,我会尽力防守。每次您成功在您的网站上使用我的验证码时,我都会尝试为它辩护。
【讨论】: