1

我正在维护由其他人开发的一些页面。我注意到,表单由某种图像验证码保护,每次用户进入页面时都会生成该验证码。CAPTCHA 存储在名为 的隐藏输入中check,用户输入的值在提交表单后与隐藏输入的值进行比较。

我尝试使用 cURL从隐藏的输入中读取页面并解析CAPTHA。

$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, "http://example.com/form/");
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);

$result = curl_exec($curl);

$html = str_get_html($result);
$captcha = $html->find('input[name=check]');
var_dump($captcha[0]->value);

curl_setopt($curl, CURLOPT_POST, true);
curl_setopt($curl, CURLOPT_POSTFIELDS, array(
    "name"      => "Joe",
    "telephone" => "1423456789",
    "message"   => "Lorem ipsum",
    "auth"      => $captcha[0]->value,
    "check"     => $captcha[0]->value,
    "submit_f1" => "Send"
));

$result = curl_exec($curl);
curl_close ($curl);

运行上面的脚本会导致正确的表单提交。更重要的是,我注意到,我可以简单地覆盖post 数组中的值authcheck

    "auth"      => 123,
    "check"     => 123,

并且表单也被正确提交。

我意识到没有 100% 安全的方法来保护表单,但是我怎样才能更多地保护我的表单并使自动提交变得更加困难。

4

2 回答 2

1

任何质询-响应系统背后的想法是,您将响应(代码)隐藏起来,只显示质询(图像)。

您通常会使用 session 来完成此操作;您将响应存储在会话中并显示挑战。输入正确的响应后,您可以清除响应会话变量,为系统准备下一个挑战。

以下代码仅用于说明该想法。

显示验证码

session_start();

// generate the string you wish to show as captcha
$str = generate_captcha();
// and store inside session
$_SESSION['captcha'] = $str;

// show_captcha() would generate the image
echo show_captcha($str);

验证验证码

session_start();

if ($_POST['captcha'] === $_SESSION['captcha']) {
    unset($_SESSION['captcha']);
    // continue with form submission
} else {
    // yikes, it doesn't match
}
于 2012-09-25T09:58:50.353 回答
1

正如其他人所说,使用$_SESSION是实现此目的的最常见方法;

  1. 生成一个随机字符串并将其存储在$_SESSION.
  2. 将该随机字符串绘制为 jpg 并将其保存在 tmp 文件夹中。
  3. 在表单旁边向用户显示 jpg。
  4. 将输入与会话值进行比较。

但是,如果您无法使用会话,另一种(不太常见的)方法是使用散列;

  1. 生成随机字符串$ranstr
  2. 计算您应该偶尔更改的长服务器端秘密值SHA256($ranstr . $SECRET)在哪里。$SECRET
  3. 绘制$ranstr为 jpg 并将其保存在 tmp 文件夹中。
  4. 在表单旁边向用户显示 jpg。该表单还将在隐藏字段中包含哈希的结果。
  5. 重新计算SHA256($POST['human_test'] . $SECRET)并将其与隐藏字段的值进行比较。

在这两种情况下,最好添加一个 cron 来删除超过 1 小时左右的 jpg。

于 2012-09-25T10:34:23.757 回答