作者gnagna (节能停上1小时)
看板HOT_Game
标题Re: [讨论] ====关於解决随机认证图====
时间Sat Jun 23 03:09:07 2007
※ 引述《vicamo (asdf)》之铭言:
: ※ 引述《Leeng (里恩)》之铭言:
: : 在此之前
: : 想先请教阿发妻读认证图的原理....
: : 究竟图形与认证码以及那串md5有什麽关联呢?
: : 麻烦强者解释一下...
: hash 是指一种对应方式
: 例如说有很多数字,我们就光看最後的一个 digit 来分类
: 尾数是 1 的放到篮子 1,2 的放到篮子 2 ....
: 当我们有很多很多的篮子时,可以假定几乎不可能出现篮子里有两个东西
: 当然啦,你有更多东西要放到这些篮子的时候就一定会重复
: 如果我们假定 Ian 生出来的图不多,那就大概可以说篮子里不会有两个东西
: 也就可以拿来分辨在 a 篮的东西一定跟 b 篮的东西不一样
: 所以把篮子的编号拿来当 key,认证码就是我们要的值,这样的一对一关系用以检索
: md5 就是我们用来生成篮子编号的方法,它会生成 2^128 个篮子
我不会写程式但是我想提供一下想法
: 有没有可能我们连进去点点点的网站以後就固定只抓一些图来认证
: 图是我们抓来放的,不是站方给的,这样有可能骗过主机吗??
--
世界滑鼠点击大赛:Click~Click~Click http://www.clickclickclick.com/
台湾官网: http://www35.atwiki.jp/clicktaiwan/pages/11.html
台湾PTT bbs官版: telnet://ptt.cc 版名: HOT_Game
台湾gaaan版: http://www.gaaan.com/clickclickclick
点点点台湾聊天部屋: http://0rz.tw/ce2IQ
Taiwan!!! Click~Click~Click!!! Let me show it (Taiwan)!!!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.123.8.34
1F:→ BigSuckTube:???? 06/23 03:09
2F:推 nmchen:阿....ㄚ你就说阿... 06/23 03:09
3F:推 flysonics:你的想法用别的颜色标啦 这样会跟原文搞混耶 06/23 03:09
4F:→ hakkinen1984: 快说快说 06/23 03:09
5F:→ gnagna:最下面那三行就是了 色码忘了改 06/23 03:09
6F:推 johnnyaiba:他前面加到: 变成引文... 06/23 03:10
7F:推 PPPGGG:....一片空白是跑不出东西的..... 06/23 03:10
8F:→ htalent:这跟开GM8改OnlineGame人物的HP有异曲同工之妙XD 06/23 03:10
9F:推 tubou:我想笑 扑 06/23 03:10
10F:推 sony1256:XDDD 06/23 03:10
11F:→ flysonics:你的意思是用暴力狂洗 洗到认证图刚好我们SERVER有? 06/23 03:11
12F:推 gnagna:我的意思是能不能贴上我们的图然後经过认证骗过站方 06/23 03:11
13F:推 saiboyu:这样跟攻击有啥二样 06/23 03:13
14F:推 KyleTso:不能 06/23 03:13
15F:推 flysonics:这样就有点算是骇的动作了吧? 何况对方安全步骤一定有 06/23 03:13
16F:推 vicamo:网页载入的时候,它会动态地配给那个t参数让我们去跟它伸图 06/23 03:12
17F:推 Swordfish2:就算可以,这已经算是骇客行为了吧 06/23 03:14
18F:→ htalent:能改的只有客户端,就算本机图片换了 留存伺服器的不会变 06/23 03:14
19F:→ KyleTso:认证是server端在处理 没办法(不成文规定)影响server端 06/23 03:13
20F:→ htalent:所以回传回去的数值,一样会比对错误的 06/23 03:14
21F:→ flysonics:那个不成文规定就是为了网路安全啊= = 06/23 03:14
22F:→ vicamo:,如果你的t不是从他那来的,拿已知的去跟它要,它还是会给 06/23 03:14
23F:→ vicamo:但是等一下的验证不会过 06/23 03:15
24F:→ flysonics:所以以v大说法 暴力狂洗也是不可行的? 06/23 03:16
25F:推 saiboyu:楼上我想问一下 这种图片认证都是这种处理方式吗 06/23 03:16
26F:→ vicamo:(这个行为算骇吗,我觉得不算骇"进去",只是在外面骇而已) 06/23 03:16
27F:→ htalent:不... 连续打错也会被笨 我刚刚忙推文误按一堆enter也死 06/23 03:16
28F:→ saiboyu:还是看SERVER端怎麽设计 06/23 03:16
29F:→ vicamo:看 server 怎麽设计,现在还不是最严重的。 06/23 03:17
30F:→ htalent:剑鱼大应该是以为连server端图片也换掉 才会那样说(我猜 06/23 03:18
31F:→ flysonics:最严重的情况是? 06/23 03:18
32F:→ saiboyu:那你怎麽知道点点点他们是这样设计的 你看封包内容吗 06/23 03:18
33F:推 vicamo:看过啊,我最爱抓封包了~~~ 06/23 03:19
34F:推 htalent: 啊,我最爱被抓包了~~~ (? 06/23 03:20
35F:→ A1pha7: 啊,我最爱吃肉包了~~~ 06/23 03:22
36F:→ htalent:还是正经一点好了... 貌似前面好几天有些文章提到了流程 06/23 03:22
37F:→ htalent:不小心有喵到的话 其实要猜出大概的架构还不算太难 06/23 03:23
38F:推 saiboyu:第几篇阿 我想研究一下 06/23 03:24
39F:→ vicamo:最严重的情况就是一开始担心的情况,所有图自动生,不重覆 06/23 03:22
40F:→ flysonics:嗯嗯 讨论大部份都还是建立在不是自动生的前提下.... 06/23 03:26
41F:→ htalent:原则上伊安不太敢全面自动化产生?(不敢说太满 上次有悲惨 06/23 03:33
42F:→ htalent:经验, 才说GGB不会修改,隔天马上更新 黑暗法失效 囧) 06/23 03:33