中国移动动态短信验证码安全防护方案分析
移动支付安全调查报告
移动支付安全调查报告移动支付安全调查报告「篇一」春节临近,马上又到了传统的消费高峰期,中国银联近日发布了20xx移动支付安全调查报告,此次调查通过商业银行、非金融支付机构的微信公众号、微博、官方网站、APP客户端等117个移动互联网入口开展在线调查,获得近59万人关注,回收有效问卷逾9万份,报告揭示了我国移动支付发展的最新进展及安全风险状况。
移动支付安全风险上升社交账号盗用、短信木马链接、骗取验证码成为最常见的诈骗手段报告显示,20xx年电信诈骗案件持续高发,消费者受损比例持续走高。
约有1/4的被调查者表示遭遇过电信网络诈骗并发生过损失,较20xx年上升11个百分点,广东、福建、山东等沿海地区的受访者遭遇欺诈的比例相对较高,均超过40%。
值得注意的是,50岁以上的'中老年人群体遭遇过电信诈骗比例最高,达到五成,较平均水平高出11个百分点。
根据调查,遭受电信网络欺诈的被调查者中,超过八成遭遇过盗用社交账号诈骗,较20xx年同比增长了36个百分点。
另外,木马链接短信和骗取短信验证码等欺诈手法也是常见的支付欺诈方式,遭遇两类手法的持卡人比例达到63%和51%。
报告还显示,64%的被调查者曾使用手机号码同时注册多个账户,包括金融类账户、社交类账户和消费类账户等,其中遭遇过电信诈骗并发生损失的比例过半,高于整体平均水平。
用手机同时注册金融类账户及其他账户,如发生信息泄露,犯罪分子更易接管金融支付账户盗取资金。
在曾遭受电信网络欺诈的被访者中,近三成的欺诈损失金额高于20xx元。
从年龄来看,两成的50岁以上的受害者损失金额超过5000元,超过平均损失比例7个百分点。
在遭遇损失人群中,可全额或部分追回损失的超过五成,消费者自行承担全部欺诈损失较前年显著下降,降幅超过三成。
值得注意的是,在五成自行承担全部损失的人群中,有超过四成是50岁以上中老年人。
九成受访者曾使用手机完成付款大额支付用卡,小额支付选手机报告还揭示出去年我国消费者移动支付方面消费行为习惯的变化。
移动APP的信息安全与防护方式
移动APP的信息安全与防护方式随着移动互联网的快速发展,移动APP已经成为人们日常生活中不可或缺的一部分。
随之而来的是移动APP信息安全问题的日益严峻。
信息安全与防护方式变得尤为重要。
本文将探讨移动APP的信息安全问题以及一些常见的防护方式。
移动APP信息安全问题1. 用户隐私泄露:很多APP在收集用户信息时存在过度收集、未经充分告知和同意等问题,导致用户隐私泄露。
2. 数据泄露:一些APP存在数据存储、传输不加密或者加密方式不安全的问题,导致用户数据容易被攻击者获取。
3. 恶意软件威胁:一些APP中可能存在恶意软件,例如广告软件、木马、钓鱼网站等,给用户带来安全风险。
4. 系统权限滥用:一些APP在获取系统权限时可能存在滥用的情况,例如获取手机通讯录、位置信息等。
防护方式针对移动APP的信息安全问题,可以采取以下一些常见的防护方式:1. 安全开发:在开发移动APP时,务必重视安全性,遵循安全开发的规范和最佳实践,包括安全编码、安全测试、漏洞修复等。
2. 数据加密:在数据存储和传输过程中使用加密技术,确保用户数据的安全性。
3. 权限管理:在APP中合理设置权限,并在获取权限时向用户做出明确的解释和提示,避免权限滥用。
4. 安全认证:为用户提供安全而便捷的认证方式,例如指纹识别、人脸识别等,确保用户身份的安全性。
5. 安全更新:及时更新APP版本,修复已知的安全漏洞,确保APP的安全性。
6. 安全沙箱:使用沙箱技术隔离APP,确保APP不能对系统和其他APP进行非授权的操作。
7. 安全通信:使用安全的通信协议,避免窃听和篡改。
8. 安全审计:通过日志记录和分析等手段,对APP的安全性进行审计和监控。
9. 安全教育:向用户提供相关的安全教育和培训,使他们养成良好的信息安全意识。
移动APP的信息安全问题一直备受关注,各类信息泄露事件和恶意软件事件层出不穷。
我们需要加强对移动APP信息安全的防护和管理,从而保障用户的信息安全和隐私。
浅谈移动应用安全防护能力
浅谈移动应用安全防护能力【摘要】移动应用安全是当前互联网时代面临的重要挑战之一。
本文从引言、正文和结论三个部分分析了移动应用安全防护的重要性和意义,介绍了其基本原理、技术手段、挑战和建议,以及未来发展趋势。
在详细阐述了移动应用安全的重要性和意义,强调了安全防护意识的重要性。
在重点讨论了移动应用安全防护的基本原理和技术手段,以及所面临的挑战和应对建议。
最后在结论部分总结指出,加强移动应用安全防护意识,提升安全防护能力,共同致力于打造更加安全的移动应用生态环境是当前亟待解决的任务。
文章全面论述了移动应用安全防护的重要性和必要性,为日后提升移动应用安全防护能力提供了有效的参考依据。
【关键词】移动应用安全、防护能力、基本原理、技术手段、挑战、建议、发展趋势、意识、共同努力、生态环境1. 引言1.1 移动应用安全的重要性移动应用安全的重要性是当前互联网时代不可忽视的问题。
随着移动应用的普及和使用范围的扩大,移动应用的安全问题也日益凸显。
对于个人用户来说,移动应用可能会涉及到私人信息、财产安全等重要问题,一旦用户的移动应用受到攻击或者泄露,可能会给用户造成无法估量的损失。
而对于企业来说,移动应用安全问题关乎企业的商业利益和声誉,一旦企业的移动应用受到攻击或者泄露,可能会导致巨大的经济损失和信誉危机。
移动应用安全的重要性还体现在现代社会的生活方式中。
越来越多的人将移动设备作为日常生活和工作的必备工具,移动应用承载了人们的社交、购物、支付、娱乐等多种功能。
如果移动应用安全得不到保障,用户的个人隐私和财产安全就会受到威胁,甚至可能导致社会秩序的混乱。
加强移动应用安全意识,提升移动应用安全防护能力,共同致力于打造更加安全的移动应用生态环境,是每个人应该关注和努力的方向。
1.2 移动应用安全防护的意义移动应用安全防护的意义在于确保用户的个人信息和财产安全,保护移动应用的正常运行和用户体验。
随着移动应用的普及和用户数量的不断增加,移动应用安全问题日益突出。
移动应用开发中的短信验证常见问题解答
移动应用开发中的短信验证常见问题解答移动应用开发中的短信验证在现代社会中变得越来越重要。
无论是注册新用户、重置密码还是进行身份验证,短信验证都成为了用户安全认证的常见方式之一。
然而,在实际开发中,我们常常会遇到各种各样的问题。
本文将介绍一些移动应用开发中常见的短信验证问题,并提供解答。
一、接收延迟问题在使用短信验证的过程中,我们常常会遇到短信接收延迟的问题。
这可能是由于运营商网络拥堵、手机信号不稳定或用户手机设置问题导致的。
要解决这个问题,我们可以尝试以下方法:1. 增加重试机制:当用户长时间未收到短信验证码时,可以提供重试按钮,让用户重新发送验证码。
2. 引导用户检查网络:提醒用户检查手机信号,或者尝试使用其他网络环境进行验证。
二、短信内容被屏蔽问题有时候,用户可能会遇到短信验证码被手机系统屏蔽的情况。
这一问题多数出现在一些智能手机型号中,特别是国内一些品牌的手机。
为了解决这个问题,我们可以采取以下方法:1. 提供手动输入验证码的选项:在出现屏蔽问题的情况下,我们可以提供手动输入验证码的选项,让用户通过其他方式(如电子邮件)获取验证码,并手动输入到应用中。
2. 系统通知提示用户打开短信权限:在应用的首次使用时,我们可以向用户提示打开短信权限,以避免短信验证码被屏蔽。
三、验证码过期问题验证码的有效期是很重要的,它需要适当地设置。
当用户收到短信验证码后,如果过多时间已经过去,验证码可能会失效,这会成为用户流失的原因之一。
要解决这个问题,我们可以采取以下措施:1. 设置合理的有效期:根据注册流程和用户行为的时间限制,设置验证码的合理有效期,既确保用户能够完成验证,又不会让验证码过期。
2. 提醒用户及时验证:在发送验证码后,可以向用户发送提醒,鼓励他们尽快验证。
四、验证码滥用问题在一些恶意用户或者机器人攻击的情况下,验证码可能会被滥用。
为了避免验证码滥用的问题,我们可以考虑以下方法:1. 增加图形验证码:在某些敏感操作中,可以采用图形验证码结合短信验证码的方式,增加验证的难度。
移动APP的信息安全与防护方式
移动APP的信息安全与防护方式随着移动互联网的快速发展,移动APP已经成为人们日常生活和工作不可或缺的一部分。
随之而来的是移动APP信息安全问题的日益突出。
随着黑客技术的不断发展和信息窃取的风险增加,移动APP的信息安全问题已经成为不容忽视的重要问题。
本文将就移动APP的信息安全问题进行探讨,并提出相关的防护方式。
一、移动APP信息安全问题1. 数据泄露风险当用户在使用移动APP的过程中,需要输入个人敏感信息或者涉及金融交易等隐私信息时,如果APP存在安全漏洞,就有可能会导致用户的个人信息被黑客窃取,从而引发数据泄露风险。
2. 恶意程序攻击一些恶意程序会伪装成正常的移动APP,当用户下载安装后,这些恶意程序就会获取手机设备的权限,进而窃取用户的个人信息、短信、通讯录等敏感信息。
3. 网络劫持通过网络劫持技术,黑客可以截取用户与移动APP之间的通讯数据,从而窃取用户的个人隐私信息。
4. 其他安全隐患除了上述几种常见的安全问题之外,移动APP在开发和设计过程中,还存在许多潜在的安全隐患,例如代码漏洞、数据传输不加密、未经授权的权限获取等。
1. 数据加密对于用户的个人信息和敏感数据,APP开发者可以采用数据加密的方式进行保护,确保数据在传输和存储过程中不会被恶意获取。
2. 用户权限控制在设计移动APP时,需要合理设置用户权限控制,只有在用户明确同意的情况下才能获取用户的敏感信息,避免恶意程序通过获取权限进行窃取用户信息。
3. 安全漏洞修复定期对移动APP进行安全漏洞检测和修复,及时更新APP版本,修复已知的安全问题,确保用户的信息不会因为安全漏洞而被窃取。
4. 网络传输加密采用安全的传输协议和加密方式,对用户和移动APP之间的通讯数据进行加密传输,防止黑客通过网络劫持获取用户的隐私数据。
5. 安全认证移动APP在进行用户登录、交易等行为时,需要进行安全认证,采用多因素认证、短信验证码等方式,确保用户行为的真实性和安全性。
移动APP应用的信息安全与防护方式分析
243信息技术与安全Information Technology And Security电子技术与软件工程Electronic Technology & Software Engineering随着移动APP 的广泛使用,人们的生活已经离不开移动APP 应用。
如果移动APP 被恶意使用,那么不仅会为人们的生产和生活带来一定的困扰,还会严重损害使用APP 的社会群众的合法权益,这对于我国的发展是十分不利的。
因此,为促进我国信息科技的稳定发展,相关部门一定要重视移动APP 应用的信息安全与防护问题。
1 移动终端设备安全体系概述移动终端设备安全体系是技术人员通过合法的技术手段建立的保障移动设备安全使用的体系,其目的是确保所有的运营网络连接的移动设备都可以有质量较好的数据服务,从而为移动设备提供一定的安全保障。
在我国信息技术不断进步与发展的同时,我国的移动智能设备的应用也变得越来越广泛,这使得移动终端设备存在的问题也日益展露出来。
根据大量的数据调查显示,我国乃至世界上移动APP 应用的信息安全都存在大量的问题,我国电脑或手机被染病毒和木马的概率高达24.2%,移动APP 信息被盗窃的情况高达22.9%,这些都是对我国移动终端设备安全体系的重大威胁。
因此,我国加快出台了新的相关政策,培养更多的可以人才来进行移动终端设备安全体系的建设,目前我国的移动终端设备安全管理分成五大部分,一部分是移动终端的硬件安全,第二部分是移动设备操作系统的安全管理,第三部分是移动终端设备的应用安全,第四部分是移动设备使用者的数据安全管理,最后一部分是移动终端设备外围接口安全。
我国不断提高移动终端设备安全体系的建设,保障我国移动APP 应用的安全性,从而为人们的生活带来更多的便利。
2 移动APP的应用现状分析目前我国的大多数移动智能设备进行购买手机时只会对手机的外形与整体性能进行研究与分析比较,而对于移动APP 应用的信息安全却没有太多人关注。
短信验证码也存在着安全隐患
短信验证码也存在着安全隐患在中国今年的支付发展中,短信验证码的地位毋庸置疑,但是也因为短信验证码的缘故,致使很多人上当受骗,今天就让艾派短信通为大家讲解一下短信验证码的原理和优缺点,以及从用户和支付机构的角度如何去使用的防护短信验证码的安全,进行分析和介绍。
这个年代的人,只要接触过互联网,几乎没有不知道短信验证码的。
从移动互联网时代起,以手机作为帐号进行注册的机制开始流行。
原因是手机使用率高,号码具有唯一性,还给出了企业联系客户的方式。
那么使用手机号进行注册,一开始就必须确定你注册的这个手机号是你本人的。
就如同你用电子邮件注册一定会给你发一份确认邮件,你从这封邮件里面点击链接,会链接到这个网站,从而使网站确认这个邮件地址确实是你本人的。
而短信验证码也可以类似地确定手机号码是否为本人的,即注册的会员手机会收到一个随机的验证码短信,内容大多为:“尊敬的顾客,您在某某网站注册,验证码为:******,在半小时内使用。
”会员填写该验证码来验证手机确实为本人所有,于是通过注册。
如果注册会员在半小时内未收到验证短信或者未将验证码填入验证,那该验证码将会失效,可再次点击"发送验证码"按钮,系统将会发送第二个验证码到注册会员手机上,再一次进行验证。
从而确定用户对手机号码的所有权。
随着第三方支付业务的快速发展,手机短信验证码又成为支付安全验证的利器。
支付中校验短信的原理是让用户感知到此支付行为正在发生,给盗刷用户帐号的骗子提高门槛,因为骗子可能拿到了支付密码,却未必掌握了用户的手机。
并且用户收到了莫名其妙的支付短信验证码,会对帐号可能被盗有所感知,进而提高了安全性。
支付密码也有对短信验证码的互补保护作用。
用户丢了手机,拾到手机的人可获取短信验证码,但是有支付密码的门槛还是不能盗取用户财产。
支付密码和短信验证码,互相支持,互为补充,可以说是支付安全的神雕侠侣。
在各项支付业务中,都可以看到这对神雕侠侣的大展身手。
移动客户信息安全保障措施
移动客户信息安全保障措施为了保障移动客户信息的安全,需要采取多种措施。
下面将介绍七个方面的安全保障措施。
首先,加密传输:所有与客户相关的数据传输应采用加密技术,如SSL/TLS协议,以确保数据在传输过程中不受未经授权的访问或篡改。
同时,需要使用强大的密码学算法,防止被破解。
其次,身份验证:为了防止未经授权的访问,移动客户端应该采用有效的身份验证机制。
比如双因素身份验证,用户需要提供多个身份凭证才能登录。
第三,访问控制:只有经过授权的人员才能访问客户信息。
通过使用访问控制列表,可以限制对敏感数据的访问权限,并记录所有的访问操作。
同时,需要限制不同人员的权限,防止恶意行为。
第四,数据备份和恢复:定期进行数据备份,并确保备份数据的安全性。
在发生数据丢失或损坏的情况下,能够及时恢复客户信息,以避免对客户造成不必要的损失。
第五,防火墙和安全系统:部署防火墙和安全系统,监控移动客户端的网络流量,检测和拦截潜在的攻击和恶意软件。
及时更新安全系统的规则和防护策略,确保其对最新的安全威胁具有有效的防护能力。
第六,安全培训和教育:为所有与移动客户信息有关的员工提供安全培训和教育,使其了解和遵守安全规定和最佳实践。
员工应该被告知有关客户信息保护的责任和重要性,并知道如何应对安全事件和威胁。
最后,风险评估和漏洞管理:定期进行风险评估,识别潜在的安全风险和漏洞,并及时修复。
对于已知的安全漏洞,应该采取措施进行修补或升级,以减少潜在攻击的风险。
综上所述,移动客户信息的安全保障是一个系统性的工作,需要从多个方面着手。
只有采取综合性的安全措施,才能更有效地保护客户信息的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
动态短信验证码安全防护方案中国移动2014年9月目录1.概述 (3)2.适用范围 (3)3.“短信炸弹”实例分析 (3)3.1短信炸弹原理 (4)3.2短信炸弹实例分析 (4)4.短信验证码安全防护方案 (5)5.图片验证码安全要求 (7)5.1图形验证码实现机制 (7)5.2图片验证码的安全设计要求 (9)1.概述近期,根据集团客户及代理商反馈:部分用户连续收到莫名验证码短信,对用户正常的业务使用造成了严重的影响;同时还引起了大量的用户投诉,部分省份反馈行业端口的验证码业务投诉量居高不下,占总投诉量比重超过50%。
经分析该问题是由一种互联网恶意攻击方法——“短信炸弹”形成,该攻击方法循环利用不同业务中的无需注册即可向任意手机号发生短信动态验证码的正常业务需求(如用户注册、好友邀请、密码取回等),可以向多个用户同时连续发送大量的验证短信,严重影响用户的正常使用,造成不良影响与大量投诉。
虽然部分业务设定用户首次输入错误后,提供“手机号+动态验证码”的登录方式;但由于攻击工具循环调用不同的动态短信发送URL进行攻击,可绕开该限制进行攻击。
《动态短信验证码安全防护方案》是针对端口类动态短信验证码功能的安全实施方法与要求,适用于具备动态短信验证码功能的业务与系统。
2.适用范围本方案适用于无需用户登录认证的情况下(如用户注册、好友邀请、密码取回等环节),需要向用户发送动态短信验证码或其他业务所需的短信(如认证信息、业务提示信息等)的业务场景。
原则上要求所有具备公网可访问的、具备非认证场景下可向用户发送短信信息的业务都必须符合本方案的要求。
本方案由总部市场经营部委托研究院制定。
各省公司可根据本方案,结合自身实际情况,制定相应的实施细则。
本方案自下发之日起执行。
3.“短信炸弹”实例分析3.1短信炸弹原理短信炸弹一般基于WEB方式(基于客户端方式的“短信炸弹”工具原理类似),其由两个模块组成,包括:一个前端Web网页,提供输入被攻击者手机号码的输入窗口;一个后台攻击页面(如PHP),利用从各个网站上找到的动态短信URL和前端输入的被攻击者手机号码,发送HTTP请求,每次请求给用户发送一个动态短信。
利用这两个模块实施“短信轰炸”攻击,原理具体分析如下:(1)恶意攻击者在前端页面(如下图所示“迷你轰炸台”)中输入被攻击者的手机号;(2)短信炸弹后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL进行组合,形成可发送动态短信的URL请求;(3)通过后台请求页面,伪造用户的请求发给不同的业务服务器;(4)业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。
这个过程如下图1所示:3.2短信炸弹实例分析用户在某短信炸弹上输入被攻击手机号、攻击的次数后,对被攻击的手机号进行攻击的源码。
如图2所示:图2短信炸弹Web页面分析:该攻击页面中主要采用<imgsrc=’http://…..’/>来调用业务服务器动态短信发送的接口。
如红框中内容所示。
●在“短信轰炸”源代码中,利用<img/>标签的src属性定义了可以请求发送动态短信的URL(如/….);●在其中的phonenumber字段中嵌入被攻击的手机号(如138111111111后,即可形成攻击URL);●页面运行后,将其以HTTP GET/POST的方法提交给业务服务器;●业务服务器发送动态短信到被攻击者的手机上,从而完成了“短信炸弹”攻击。
4.动态短信验证码安全防护方案短信炸弹形成的原因是因为非授权的动态短信获取,而由于业务的需要(如注册、好友邀请等),在使用动态短信业务前系统并不能建立业务关联。
因此,在未建立业务关联的情况下,需要进一步严格限制保证业务使用的安全性。
针对短信炸弹问题,建议综合采用:增加图片验证码、单IP请求次数限制、限制发送时长限制3个措施,防护“动态短信获取”功能与业务接口。
措施编号措施描述针对性解决的问题1 使用安全图片验证码防止通过自动化工具进行攻击请求。
2 单IP的请求次数限定防止攻击者对服务器进行大量无效请求(在图片验证码未破解的情况下,自动化工具形成错误请求),增加服务器负担。
3单用户动态短信请求间隔时长限制防止对单个用户形成手工攻击;防止图片验证码失效后对用户形成大量攻击。
措施一:使用安全的图片验证码究其原因是攻击者可以自动对接口进行大量调用。
恶意攻击者采用自动化工具,调用“动态短信获取”接口进行动态短信发送。
采用图片验证码可有效防止工具自动化调用,即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决被利用实施炸弹攻击的问题。
安全的图片验证码必须满足:生成过程安全:图片验证码必须在服务器端进行产生与校验;使用过程安全:单次有效,且以用户的验证请求为准;验证码自身安全:不易被识别工具识别,能有效防止暴力破解。
安全图片验证码的设计方案详见第5章。
措施二:单IP的请求次数限定使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用;但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。
建议在服务器端限制单个IP在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该IP一段时间的请求;若情节特别严重,可以将IP加入黑名单,禁止该IP的访问请求。
该措施能限制一个IP地址的大量请求,避免攻击者通过同一个IP对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。
该阈值设定可依据业务的不同执行设定,一般情况下建议不超过200个/分钟。
措施三:单用户动态短信请求间隔时长限制为进一步优化业务正常使用,建议采用限制重复发送动态短信的间隔时长,即当单个用户请求发送一次动态短信之后,服务器端锁定如:30秒后,才能进行第二次动态短信请求。
该功能可进一步保障用户体验,并避免包含手工攻击恶意发送垃圾验证短信。
5.图片验证码安全要求5.1图形验证码实现机制(1)典型验证系统架构图典型的系统主要由前端WEB服务器、后端验证服务器群组成。
WEB前端服务器负责通过Internet与用户进行交互,提供认证业务(包含用户手机号输入、动态验证短信输入);后端验证服务器群由验证码服务器和动态短信验证服务器组成,验证码服务器负责产生、校验验证码,短信验证服务器负责向用户手机发送动态短信验证码信息,并对用户输入进行校验。
典型业务流程如图3所示:图3典型业务流程图当业务服务为客户端模式时,与图3所示的web方式基本相同,其中客户端相当于web前端服务器的功能。
(2)验证码安全使用流程对图3中图片验证码的使用流程(步骤2~步骤6)进行描述如下。
步骤2:用户访问验证码请求页面,输入手机号后,前端应用服务器向图片验证码服务器发送请求,请求获得图片验证码的URL格式示例如下:http://192.168.1.1/getImage?sessionId=xxxx&busid=xxx。
- 192.168.1.1代表前端应用服务器的域名或者IP地址;- sessionId代表前端应用服务器与验证码服务器建立的会话ID号,由双方协商获得;- busid代表前端应用服务器的业务ID号,由双方协商获得;该ID的设置使一台验证码服务器支持为多个业务提供图片验证码。
步骤3:验证码服务器产生验证码,并将引用图片验证码的URL传送回前端应用服务器;前端应用服务器通过URL获取图片验证码,并通过浏览器向用户展示。
步骤4:用户输入手机号与图片验证码,并单击发送按钮,请求验证码服务器对图片验证码的有效性认证。
步骤5:请求对图片验证码进行有效性验证的URL格式示例如下:http://192.168.1.1/checkCode?sessionId=xxxx&busid=xxx&code=xxxx。
- sessionId,busid同上,code为用户输入的图片验证码的值。
步骤6:服务器端收到请求后与原始数据进行核对,并立即将原验证码进行失效处理。
若用户提交数据与服务器数据一致,则服务器返回认证成功,并产生、发送短信验证码至手机;若用户提交数据与服务器数据不匹配,则web服务器返回认证失败,需告知向图片验证码服务器认证失败并向图片验证码服务器请求新的验证码(步骤6)。
5.2图片验证码的安全设计要求对于图片验证码的设计既要考虑到安全性、易用性也要考虑用户的操作体验。
对于验证码的设计不能简单的单纯使用字母、数字或4位以内的短验证码等,这样易被验证码识别器破解;同样验证码的设计也不易使用过多的干扰线条、过大的字符变形或复杂的逻辑判断等,会严重影响用户的使用体验,尤其是对年长者更加难以识别。
对于验证码的安全设计主要有以下4种方式:(1)字母数字类字母数字类验证码主要由阿拉伯数字0~9以及26个英文字母(包括大小写)组成。
其基本样式如图2所示:图4字母数字类验证码对“英文字符+数字”类的图片验证码,提出设计与实现要求如表1所示,其中“可选项”一栏中“M”表示必选,“O”表示可选。
表1英文字符+数字”类图片验证码设计要求:编号设计要求说明可选项1 验证码的长度不少于4位,不多于8位;M2 字符应在图片中完全显示;M3 验证码字符库库中必须包含字母(A~Z或a~z)与数字(0~9);M4 每个验证码中的每个字符必须随机从字符库中随机挑选;MM 5 字符的位置需要满足以下3条中的一条或多条:5-1:字符间距随机调整,在图片中非均匀分布;5-2:字符间存在粘连且较紧凑;5-3:每个字符在图片中的坐标应随机动态变化。
M 6 同一个字符应具备不少于5种形态,包括通过旋转、字体变化、扭曲等方式实现,但不应影响字符识别;7 字符间存在贯通、粘连或交叠,且要求如下:M 7-1:字符间应存在贯通,贯通线应与字符比划的粗细接近;7-2:如采用字符交叠的方式,交叠部分不应超过字符宽度的1/10;7-3:如采用粘连方式,粘连部分不应产生交叠。
8 贯通线、噪点应随机产生;O9 字符与背景色必须具备区分度,容易识别;MM 10 同一张图片验证码中,字符的大小、位置差异不超过20%(字符按大写字母计算);11 字数数量在4~6个间随机变化;O12 验证码字库中的字母需包含大写与小写;O13 避免使用一些容易混淆的字符如0和O、1和l、2和z、5和S;O14 为保证用户体验,用户输入时,不区分大小写;O15 不得在页面脚本中出现图片验证码中的字符;M16 每个图片验证码仅能使用1次。
M(2)中文类中文类验证码主要由多个简体汉字组成,其基本样式如图3所示:图5中文类验证码对中文字符类的图片验证码,提出设计与实现要求如表2所示,其中“可选项”一栏中“M”表示必选,“O”表示可选。