隐形验证码

Question

我在网站的表单提交中使用以下安全性（不可见验证码）以防止自动提交：

1. 使用数字 x 上的固定盐生成 md5 结果并渲染它 在表单内部作为隐藏字段
2. 生成 2 个隐藏字段 a 和 b，其中 a + b = x，a 和 b 是 提交时未加密
3. ，使用 javascript 添加另一个普通隐藏字段 c 其中服务器端的 c=a+b
4. 在 c 上应用 md5 和盐，将其与加密的进行比较 x

然而该系统在生产中被破解，一个人能够成功自动提交数千份表格。知道怎么做吗？

一种方法是，黑客已经知道该操作是+（通过观察javascript很容易找出），读取表单并添加a和b，创建一个带有额外c字段的新表单，其中c=a+ b.他必须首先阅读表格，然后创建一个用于提交。

我的问题是：

1. 我上面提出的假设是否是破坏我的系统的可能方法？
2. 如果是这样，我应该做什么来防止这种黑客攻击？
3. 黑客可能使用哪些其他替代黑客手段？

我不想使用真正的验证码，因为它会降低用户体验。欢迎所有建议。

Answer 1

我无法针对您的具体情况提供建议，但 Django 有一些不错的方法，如何在没有验证码的情况下抑制评论字段中的垃圾邮件： 这里的方法很好。

Answer 2

您的系统无法工作，因为攻击者只是自己执行您的 JavaScript。如果您想使用某种类似的方案来阻止自动提交，您需要为客户端设置一个工作负载因素。这不会阻止自动化软件提交到您的网站，但会减慢它们的速度并增加攻击成本。目标是增加成本并减慢攻击速度，使攻击变得不值得。与其尝试自己构建它，不如尝试使用此工作证明服务。

Answer 3

或者，黑客可以自己执行您的 JavaScript。

如果你想验证用户不是机器人，你必须让用户做一些机器人不能做的事情。真的就是这么简单。

Answer 4

进一步的步骤是增加所需的计算量；使提交表格的速度变得不可行。尝试查看HashCash。