“基于验证码破解的 HTTP 攻击原理与防范”分享

概述：

这个paper真心比较水，不过还是有点价值

汇总点：

1.http防攻击验证码方式有4种：文本验证码，手机验证码，邮件验证码和图片验证码；

2.文本低级，通过http即可解析出来，手机和邮件很容易被dos攻击

3.图片验证码如果设置比较简单的话那么很容易基于抽取模板从而破解

结论：

1.设置复杂易变的验证码

微创新：

1.设置基于变量的验证码，可以防止其提取模板

2.验证码与form设置某种必然关系从而防止模板训练集

3.参数化，使得验证码就算破解也不能通过合法认证

详情参见附件