程序员征服安全:分享与学习系列-反自动化不足
想象一下走到一个古老的地下酒吧或地下俱乐部的门口。门上的小洞滑开了,一个身材魁梧的保镖要求输入密码。潜在访客不知道密码并进行猜测。这是不对的,所以保镖不让他们进去。
这就是通常会发生的事情。现在想象一下,猜错密码的访客立即重试,弄错了,再次被拒绝访问。然后想象一下,潜在的访客打开字典并开始读取单词,从 aardvark 之类的东西开始,然后尝试所有可能的单词。
保镖很可能不允许这种活动发生,但是反自动化不足的网站和应用程序就是这样做的。它们允许用户继续尝试密码,即使使用自动化技术,直到他们最终偶然发现了正确的流行语。
在本集中,我们将学习:
- 攻击者如何利用反自动化不足的问题
- 为什么反自动化程度不足的应用程序很危险
- 可以修复此漏洞的技术。
攻击者如何利用反自动化不足的问题?
像我们虚构的地下酒吧访客那样使用自动化或字典式的攻击在网络安全领域并不是什么新鲜事物。实际上,这些蛮力式的攻击是有史以来最早部署的黑客技术。随着计算机增长得更快,它们的效率也越来越高。一台快速的计算机可以在短短几分钟内运行整个单词词典,具体取决于攻击计算机与目标系统之间的连接速度。
这些自动攻击是创建反自动化软件和技术的原因。它使应用程序能够确定用户采取的操作是否超出了典型人类行为的规范。
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。或者,他们可能会使用自动化软件做其他事情,例如向网站论坛发表垃圾评论。
为什么反自动化不足很危险?
允许恶意用户使用自动化来试图规避安全性可能很危险。自动化类攻击之所以从计算的早期一直持续到现在,是因为它们可能非常有效。如果你给一个自动化程序无限的时间来提交密码,而不会因为错误的猜测而产生任何后果,它最终会找到正确的密码。
当在论坛之类的场所使用时,一波又一波明显的脚本评论可能会使有效用户感到沮丧,甚至会浪费系统资源,从而像一种拒绝服务攻击一样行事。自动发布也可以用作网络钓鱼或其他攻击的工具,以向尽可能多的人暴露诱惑。
修复反自动化不足的问题
为了解决反自动化不足的问题,必须让所有应用程序能够确定所采取的行动是由人工实施的,还是由自动化软件实施的。最受欢迎和最广泛使用的技术之一是 完全自动化的公共图灵测试,可区分计算机和人类,或验证码。
验证码基本上是一个 图灵测试,由计算机科学家艾伦·图灵于1950年首次提出,通过该提出,可以区分和识别人类和计算机的行为。现代验证码提出了人类可以轻松解决的问题,但是计算机难以解决或根本无法解决的问题。一个受欢迎的照片展示了一张由网格分隔的照片,并要求用户识别其中包含特定物品的所有区域,例如花朵或脸。计算机无法理解所要求的内容,因此甚至无法尝试扫描图像。即使可以,图像识别也超出了大多数不是专门为此而构建的程序。
验证码的其他示例包括显示模糊文本、问一个简单的逻辑问题,甚至大声播放问题。在应用程序的关键时刻(例如提示输入密码时)实施验证码挑战可能会使自动化程序停滞不前。
也可以通过简单地限制来自同一来源的错误猜测数量来停止自动化程序。如果发送了太多错误的猜测,该帐户可能会被暂时锁定,从而延迟自动化程序的使用期限,甚至可能需要人工管理员才能解锁。这样做可以防止应用程序中出现反自动化漏洞。
有关反自动化不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 反自动化不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即发现并修复反自动化不足了吗?在我们的游戏竞技场测试你的技能: [从这里开始]
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
想象一下走到一个古老的地下酒吧或地下俱乐部的门口。门上的小洞滑开了,一个身材魁梧的保镖要求输入密码。潜在访客不知道密码并进行猜测。这是不对的,所以保镖不让他们进去。
这就是通常会发生的事情。现在想象一下,猜错密码的访客立即重试,弄错了,再次被拒绝访问。然后想象一下,潜在的访客打开字典并开始读取单词,从 aardvark 之类的东西开始,然后尝试所有可能的单词。
保镖很可能不允许这种活动发生,但是反自动化不足的网站和应用程序就是这样做的。它们允许用户继续尝试密码,即使使用自动化技术,直到他们最终偶然发现了正确的流行语。
在本集中,我们将学习:
- 攻击者如何利用反自动化不足的问题
- 为什么反自动化程度不足的应用程序很危险
- 可以修复此漏洞的技术。
攻击者如何利用反自动化不足的问题?
像我们虚构的地下酒吧访客那样使用自动化或字典式的攻击在网络安全领域并不是什么新鲜事物。实际上,这些蛮力式的攻击是有史以来最早部署的黑客技术。随着计算机增长得更快,它们的效率也越来越高。一台快速的计算机可以在短短几分钟内运行整个单词词典,具体取决于攻击计算机与目标系统之间的连接速度。
这些自动攻击是创建反自动化软件和技术的原因。它使应用程序能够确定用户采取的操作是否超出了典型人类行为的规范。
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。或者,他们可能会使用自动化软件做其他事情,例如向网站论坛发表垃圾评论。
为什么反自动化不足很危险?
允许恶意用户使用自动化来试图规避安全性可能很危险。自动化类攻击之所以从计算的早期一直持续到现在,是因为它们可能非常有效。如果你给一个自动化程序无限的时间来提交密码,而不会因为错误的猜测而产生任何后果,它最终会找到正确的密码。
当在论坛之类的场所使用时,一波又一波明显的脚本评论可能会使有效用户感到沮丧,甚至会浪费系统资源,从而像一种拒绝服务攻击一样行事。自动发布也可以用作网络钓鱼或其他攻击的工具,以向尽可能多的人暴露诱惑。
修复反自动化不足的问题
为了解决反自动化不足的问题,必须让所有应用程序能够确定所采取的行动是由人工实施的,还是由自动化软件实施的。最受欢迎和最广泛使用的技术之一是 完全自动化的公共图灵测试,可区分计算机和人类,或验证码。
验证码基本上是一个 图灵测试,由计算机科学家艾伦·图灵于1950年首次提出,通过该提出,可以区分和识别人类和计算机的行为。现代验证码提出了人类可以轻松解决的问题,但是计算机难以解决或根本无法解决的问题。一个受欢迎的照片展示了一张由网格分隔的照片,并要求用户识别其中包含特定物品的所有区域,例如花朵或脸。计算机无法理解所要求的内容,因此甚至无法尝试扫描图像。即使可以,图像识别也超出了大多数不是专门为此而构建的程序。
验证码的其他示例包括显示模糊文本、问一个简单的逻辑问题,甚至大声播放问题。在应用程序的关键时刻(例如提示输入密码时)实施验证码挑战可能会使自动化程序停滞不前。
也可以通过简单地限制来自同一来源的错误猜测数量来停止自动化程序。如果发送了太多错误的猜测,该帐户可能会被暂时锁定,从而延迟自动化程序的使用期限,甚至可能需要人工管理员才能解锁。这样做可以防止应用程序中出现反自动化漏洞。
有关反自动化不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 反自动化不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即发现并修复反自动化不足了吗?在我们的游戏竞技场测试你的技能: [从这里开始]
想象一下走到一个古老的地下酒吧或地下俱乐部的门口。门上的小洞滑开了,一个身材魁梧的保镖要求输入密码。潜在访客不知道密码并进行猜测。这是不对的,所以保镖不让他们进去。
这就是通常会发生的事情。现在想象一下,猜错密码的访客立即重试,弄错了,再次被拒绝访问。然后想象一下,潜在的访客打开字典并开始读取单词,从 aardvark 之类的东西开始,然后尝试所有可能的单词。
保镖很可能不允许这种活动发生,但是反自动化不足的网站和应用程序就是这样做的。它们允许用户继续尝试密码,即使使用自动化技术,直到他们最终偶然发现了正确的流行语。
在本集中,我们将学习:
- 攻击者如何利用反自动化不足的问题
- 为什么反自动化程度不足的应用程序很危险
- 可以修复此漏洞的技术。
攻击者如何利用反自动化不足的问题?
像我们虚构的地下酒吧访客那样使用自动化或字典式的攻击在网络安全领域并不是什么新鲜事物。实际上,这些蛮力式的攻击是有史以来最早部署的黑客技术。随着计算机增长得更快,它们的效率也越来越高。一台快速的计算机可以在短短几分钟内运行整个单词词典,具体取决于攻击计算机与目标系统之间的连接速度。
这些自动攻击是创建反自动化软件和技术的原因。它使应用程序能够确定用户采取的操作是否超出了典型人类行为的规范。
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。或者,他们可能会使用自动化软件做其他事情,例如向网站论坛发表垃圾评论。
为什么反自动化不足很危险?
允许恶意用户使用自动化来试图规避安全性可能很危险。自动化类攻击之所以从计算的早期一直持续到现在,是因为它们可能非常有效。如果你给一个自动化程序无限的时间来提交密码,而不会因为错误的猜测而产生任何后果,它最终会找到正确的密码。
当在论坛之类的场所使用时,一波又一波明显的脚本评论可能会使有效用户感到沮丧,甚至会浪费系统资源,从而像一种拒绝服务攻击一样行事。自动发布也可以用作网络钓鱼或其他攻击的工具,以向尽可能多的人暴露诱惑。
修复反自动化不足的问题
为了解决反自动化不足的问题,必须让所有应用程序能够确定所采取的行动是由人工实施的,还是由自动化软件实施的。最受欢迎和最广泛使用的技术之一是 完全自动化的公共图灵测试,可区分计算机和人类,或验证码。
验证码基本上是一个 图灵测试,由计算机科学家艾伦·图灵于1950年首次提出,通过该提出,可以区分和识别人类和计算机的行为。现代验证码提出了人类可以轻松解决的问题,但是计算机难以解决或根本无法解决的问题。一个受欢迎的照片展示了一张由网格分隔的照片,并要求用户识别其中包含特定物品的所有区域,例如花朵或脸。计算机无法理解所要求的内容,因此甚至无法尝试扫描图像。即使可以,图像识别也超出了大多数不是专门为此而构建的程序。
验证码的其他示例包括显示模糊文本、问一个简单的逻辑问题,甚至大声播放问题。在应用程序的关键时刻(例如提示输入密码时)实施验证码挑战可能会使自动化程序停滞不前。
也可以通过简单地限制来自同一来源的错误猜测数量来停止自动化程序。如果发送了太多错误的猜测,该帐户可能会被暂时锁定,从而延迟自动化程序的使用期限,甚至可能需要人工管理员才能解锁。这样做可以防止应用程序中出现反自动化漏洞。
有关反自动化不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 反自动化不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即发现并修复反自动化不足了吗?在我们的游戏竞技场测试你的技能: [从这里开始]
想象一下走到一个古老的地下酒吧或地下俱乐部的门口。门上的小洞滑开了,一个身材魁梧的保镖要求输入密码。潜在访客不知道密码并进行猜测。这是不对的,所以保镖不让他们进去。
这就是通常会发生的事情。现在想象一下,猜错密码的访客立即重试,弄错了,再次被拒绝访问。然后想象一下,潜在的访客打开字典并开始读取单词,从 aardvark 之类的东西开始,然后尝试所有可能的单词。
保镖很可能不允许这种活动发生,但是反自动化不足的网站和应用程序就是这样做的。它们允许用户继续尝试密码,即使使用自动化技术,直到他们最终偶然发现了正确的流行语。
在本集中,我们将学习:
- 攻击者如何利用反自动化不足的问题
- 为什么反自动化程度不足的应用程序很危险
- 可以修复此漏洞的技术。
攻击者如何利用反自动化不足的问题?
像我们虚构的地下酒吧访客那样使用自动化或字典式的攻击在网络安全领域并不是什么新鲜事物。实际上,这些蛮力式的攻击是有史以来最早部署的黑客技术。随着计算机增长得更快,它们的效率也越来越高。一台快速的计算机可以在短短几分钟内运行整个单词词典,具体取决于攻击计算机与目标系统之间的连接速度。
这些自动攻击是创建反自动化软件和技术的原因。它使应用程序能够确定用户采取的操作是否超出了典型人类行为的规范。
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。或者,他们可能会使用自动化软件做其他事情,例如向网站论坛发表垃圾评论。
为什么反自动化不足很危险?
允许恶意用户使用自动化来试图规避安全性可能很危险。自动化类攻击之所以从计算的早期一直持续到现在,是因为它们可能非常有效。如果你给一个自动化程序无限的时间来提交密码,而不会因为错误的猜测而产生任何后果,它最终会找到正确的密码。
当在论坛之类的场所使用时,一波又一波明显的脚本评论可能会使有效用户感到沮丧,甚至会浪费系统资源,从而像一种拒绝服务攻击一样行事。自动发布也可以用作网络钓鱼或其他攻击的工具,以向尽可能多的人暴露诱惑。
修复反自动化不足的问题
为了解决反自动化不足的问题,必须让所有应用程序能够确定所采取的行动是由人工实施的,还是由自动化软件实施的。最受欢迎和最广泛使用的技术之一是 完全自动化的公共图灵测试,可区分计算机和人类,或验证码。
验证码基本上是一个 图灵测试,由计算机科学家艾伦·图灵于1950年首次提出,通过该提出,可以区分和识别人类和计算机的行为。现代验证码提出了人类可以轻松解决的问题,但是计算机难以解决或根本无法解决的问题。一个受欢迎的照片展示了一张由网格分隔的照片,并要求用户识别其中包含特定物品的所有区域,例如花朵或脸。计算机无法理解所要求的内容,因此甚至无法尝试扫描图像。即使可以,图像识别也超出了大多数不是专门为此而构建的程序。
验证码的其他示例包括显示模糊文本、问一个简单的逻辑问题,甚至大声播放问题。在应用程序的关键时刻(例如提示输入密码时)实施验证码挑战可能会使自动化程序停滞不前。
也可以通过简单地限制来自同一来源的错误猜测数量来停止自动化程序。如果发送了太多错误的猜测,该帐户可能会被暂时锁定,从而延迟自动化程序的使用期限,甚至可能需要人工管理员才能解锁。这样做可以防止应用程序中出现反自动化漏洞。
有关反自动化不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 反自动化不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即发现并修复反自动化不足了吗?在我们的游戏竞技场测试你的技能: [从这里开始]
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
