关于验证码的安全性,请老师确认下
来源:4-4 CSRF防御-验证码
芒果和芒果柠檬
2020-03-26
老师请教下,请问我如下的理解对吗?
如果第三方(恶意网站),构造一个表单,表单通过img src 这种同源策略允许的情况获取服务器的验证码图片,然后诱导用户输入验证码,点击按钮并构造请求,不是一样会形成有效的csrf攻击吗?
所以验证码并不是完全安全的。
写回答
1回答
-
TooooBug
2020-04-03
这个问题其实提得很好。首先任何安全问题都需要前提一般来说对web浏览器端的安全我们的前提是黑客无法控制用户。也就是说你作为黑客本身你怎么弄都有办法搞破坏但是你不能控制千千万万用户一起来搞破坏。如果黑客能控制用户了那么基本上安全措施都会失效超出我们讨论的保护范围了。
然后再回到这个问题CSRF攻击一个很核心的点就是用户无感知在用户无感知的情况下完成请求才叫完成了CSRF攻击。如果还需要诱导用户来输入验证码这个CSRF攻击的完成度是很低的而且效果也会大打折扣一般情况下达不到CSRF攻击的目的。
00
相似问题