防御验证码漏洞的终极指南

Crushftp 认证绕过漏洞（CVE-2025-2825）

Apache Pinot 认证绕过漏洞（CVE-2024-56325）

一、防御类型与核心原理

1. 服务端控制类防御（核心防御层）

原理：将验证码核心逻辑（生成、存储、校验）完全置于服务端，避免前端参与关键验证，防止攻击者篡改逻辑。

防御手法：

禁止前端生成 / 校验验证码（“验证码后端说了算”“不放置在前端”）；

使用 Session 存储验证码，通过 Session ID 关联用户会话

2. 验证码安全设计类防御（技术实现层）

原理：通过增强验证码自身复杂度与动态性，提升机器识别难度，降低被脚本破解的可能性。

防御手法：

一码一用（单次有效）+ 短时效（如 5 分钟）；

混合类型验证码（文字 + 符号 + 动态干扰）；

行为验证（滑块拼图、鼠标轨迹分析，通过分析用户行为实现无感验证）。

3. 访问控制类防御（流量拦截层）

原理：通过限制异常请求频率、锁定风险 IP / 账号，阻断暴力破解等批量攻击。

防御手法：

连续错误登录 N 次后锁定账号 / IP；

使用令牌桶算法限制请求频率（如每分钟最多 10 次登录请求）。

4. 数据安全类防御（传输与存储层）

原理：防止验证码在传输或存储过程中泄露，确保数据完整性与机密性。

防御手法：

禁止验证码存储于 Cookie / 前端代码

使用 HTTPS 加密传输验证码相关数据。

二、具体防御手段与代码示例

1. 服务端生成与校验验证码（PHP 示例）

<?php

// 服务端生成验证码（存储于Session）

session_start();

// 生成6位随机字符串（数字+大写字母）

function generateCaptcha($length = 6) {

    $chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';

    $captcha = '';

    for ($i = 0; $i < $length; $i++) {

        $captcha .= $chars[rand(0, strlen($chars)-1)];

    }

    return $captcha;

}

// 生成验证码并存储到Session，有效期5分钟

$_SESSION['captcha'] = generateCaptcha();

$_SESSION['captcha_expire'] = time() + 300; // 5分钟后过期

// 生成验证码图片（示例：使用GD库）

$image = imagecreatetruecolor(120, 40);

$bgColor = imagecolorallocate($image, 255, 255, 255);

imagefill($image, 0, 0, $bgColor);

// 添加干扰线

for ($i = 0; $i < 5; $i++) {

    $color = imagecolorallocate($image, rand(0, 200), rand(0, 200), rand(0, 200));

    imageline($image, rand(0, 120), rand(0, 40), rand(0, 120), rand(0, 40), $color);

}

// 绘制验证码文字

$textColor = imagecolorallocate($image, 50, 50, 50);

imagettftext($image, 20, rand(-15, 15), 10, 30, $textColor, 'arial.ttf', $_SESSION['captcha']);

// 输出图片并销毁资源

header('Content-Type: image/png');

imagepng($image);

imagedestroy($image);

?>

2. 前端展示与表单提交（JavaScript+HTML 示例）

<!-- 前端仅展示验证码图片，不存储明文 -->

<img src="generate_captcha.php" id="captchaImg" alt="验证码">

<a href="javascript:refreshCaptcha()">换一张</a>

<form id="loginForm" method="post" action="verify.php">

    <input type="text" name="username" placeholder="用户名" required>

    <input type="password" name="password" placeholder="密码" required>

    <input type="text" name="captcha" placeholder="请输入验证码" required>

    <button type="submit">登录</button>

</form>

<script>

// 刷新验证码图片

function refreshCaptcha() {

    document.getElementById('captchaImg').src = 'generate_captcha.php?' + Math.random();

}

</script>

3. 服务端校验逻辑（PHP 示例）

<?php

session_start();

// 校验验证码有效性

function validateCaptcha($userInput) {

    if (empty($_SESSION['captcha']) || empty($userInput)) {

        return false;

    }

    // 校验时间是否过期

    if (time() > $_SESSION['captcha_expire']) {

        unset($_SESSION['captcha']);

        unset($_SESSION['captcha_expire']);

        return false;

    }

    // 校验验证码是否匹配（校验后立即销毁，确保一码一用）

    $isValid = strcasecmp($userInput, $_SESSION['captcha']) === 0;

    unset($_SESSION['captcha']);

    unset($_SESSION['captcha_expire']);

    return $isValid;

}

// 处理登录请求

if ($_SERVER['REQUEST_METHOD'] === 'POST') {

    $username = $_POST['username'];

    $password = $_POST['password'];

    $captcha = $_POST['captcha'];

    if (!validateCaptcha($captcha)) {

        die('验证码错误或已过期');

    }

    // 此处添加账号密码校验逻辑

    if (checkUserCredentials($username, $password)) {

        die('登录成功');

    } else {

        die('账号或密码错误');

    }

}

// 模拟账号密码校验函数（实际需连接数据库）

function checkUserCredentials($username, $password) {

    // 示例：硬编码验证（仅用于演示，请勿用于生产环境）

    return $username === 'RelQ' && $password === 'secure_password';

}

?>

三、防御手段原理详解

1. 服务端 Session 机制的核心作用

绑定会话：通过Session ID（存储于 Cookie）关联用户请求与服务端验证码数据

防篡改：验证码存储于服务端内存 / 数据库，前端无法直接访问，避免is_verified等标记被篡改

2. 一码一用与时效控制原理

单次有效：验证通过后立即从 Session 中删除验证码（unset($_SESSION['captcha'])），防止重放攻击；

时间窗口：设置captcha_expire字段，超过 5 分钟自动失效，降低验证码被截获后的利用价值。

3. 复杂度设计对抗自动化攻击

字符混合：使用数字 + 字母组合（如A3x-9），增加 OCR 识别难度；

动态干扰：生成验证码图片时添加随机角度文字、干扰线，破坏脚本识别规则（文档：“通过分析用户行为实现无感验证” 延伸应用）。

4. 访问控制阻断暴力破解

错误计数：结合 Redis 记录账号 / IP 错误登录次数，连续 5 次错误则返回 “账号锁定”（需配合短信验证解锁）；

频率限制：使用 PHP 的apcu或 Redis 实现令牌桶算法，限制同一 IP 每分钟最多 10 次登录请求。

四、防御类型与对应手段对照表

防御类型	具体手段	防御目标漏洞	文档依据
服务端控制类	验证码生成 / 校验全在服务端	客户端校验、客户端标记篡改	“验证码后端说了算”
验证码安全设计类	一码一用、5 分钟时效、滑块验证	验证码可重用、可识别、可预测	“一码一用”“滑块验证”
访问控制类	连续错误锁定账号 / IP	错误次数触发验证、暴力破解	“连续 5 次错误登录锁定”
数据安全类	HTTPS 传输、禁止 Cookie 存储	验证码在 Cookie / 前端泄露	“验证码不放置在前端”

五、防御核心原则总结

1.服务端绝对主导：任何涉及 “是否通过验证” 的逻辑必须由服务端独立完成，前端仅作为展示界面；

2.动态性与唯一性：验证码必须每次随机生成、单次有效、短时效，避免任何可预测性；

3.行为对抗升级：优先采用滑块拼图、点选验证等行为验证方式，结合鼠标轨迹、设备指纹等无感校验（文档趋势：“通过分析用户行为实现无感验证”）；

4.多层防御联动：将验证码机制与强密码策略、登录限流、二次验证（如短信）结合，形成立体防护体系。

通过以上防御方案，可系统性解决7 类验证码漏洞，显著提升系统对抗自动化攻击与逻辑绕过的能力。