我使用以下安全性(invisble captcha)为我的网站的表单提交,以防止自动提交:
使用数字x上的固定盐生成md5的结果,并将其作为隐藏字段在表单内呈现
生成2个隐藏字段a和b,其中a + b = x,a和b未加密
提交后,使用javascript添加另一个普通的隐藏字段c,其中c = a + b
在服务器端使用salt在c上应用md5,将其与加密的x进行比较
然而,这样的系统在生产中被破解,一个人能够成功地自动提交数千个表格.知道怎么样?
一种方法是,黑客已经知道操作是+(通过观察javascript很容易找到),读取表单并添加a和b,创建一个带有额外c字段的新表单,其中c = a +湾 他必须首先阅读一份表格,然后创建一份表格.
我的问题是:
我在上面提出的假设是否可能破坏我的系统?
如果是这样,我该怎么做才能防止这种黑客入侵?
黑客可能使用的其他替代黑客有哪些?
我不想使用真正的验证码,因为它会降低用户体验.欢迎所有建议.
或者,黑客可以自己执行您的JavaScript.
如果要验证用户不是机器人,则必须让用户执行机器人无法执行的操作.这真的很简单.
京公网安备 11010802040832号 | 京ICP备19059560号-6 