程序员征服安全:分享与学习系列-反自动化不足
想象一下走到一个古老的地下酒吧或地下俱乐部的门口。门上的小洞滑开了,一个身材魁梧的保镖要求输入密码。潜在访客不知道密码并进行猜测。这是不对的,所以保镖不让他们进去。
这就是通常会发生的事情。现在想象一下,猜错密码的访客立即重试,弄错了,再次被拒绝访问。然后想象一下,潜在的访客打开字典并开始读取单词,从 aardvark 之类的东西开始,然后尝试所有可能的单词。
保镖很可能不允许这种活动发生,但是反自动化不足的网站和应用程序就是这样做的。它们允许用户继续尝试密码,即使使用自动化技术,直到他们最终偶然发现了正确的流行语。
在本集中,我们将学习:
- 攻击者如何利用反自动化不足的问题
- 为什么反自动化程度不足的应用程序很危险
- 可以修复此漏洞的技术。
攻击者如何利用反自动化不足的问题?
像我们虚构的地下酒吧访客那样使用自动化或字典式的攻击在网络安全领域并不是什么新鲜事物。实际上,这些蛮力式的攻击是有史以来最早部署的黑客技术。随着计算机增长得更快,它们的效率也越来越高。一台快速的计算机可以在短短几分钟内运行整个单词词典,具体取决于攻击计算机与目标系统之间的连接速度。
这些自动攻击是创建反自动化软件和技术的原因。它使应用程序能够确定用户采取的操作是否超出了典型人类行为的规范。
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。或者,他们可能会使用自动化软件做其他事情,例如向网站论坛发表垃圾评论。
为什么反自动化不足很危险?
允许恶意用户使用自动化来试图规避安全性可能很危险。自动化类攻击之所以从计算的早期一直持续到现在,是因为它们可能非常有效。如果你给一个自动化程序无限的时间来提交密码,而不会因为错误的猜测而产生任何后果,它最终会找到正确的密码。
当在论坛之类的场所使用时,一波又一波明显的脚本评论可能会使有效用户感到沮丧,甚至会浪费系统资源,从而像一种拒绝服务攻击一样行事。自动发布也可以用作网络钓鱼或其他攻击的工具,以向尽可能多的人暴露诱惑。
修复反自动化不足的问题
为了解决反自动化不足的问题,必须让所有应用程序能够确定所采取的行动是由人工实施的,还是由自动化软件实施的。最受欢迎和最广泛使用的技术之一是 完全自动化的公共图灵测试,可区分计算机和人类,或验证码。
验证码基本上是一个 图灵测试,由计算机科学家艾伦·图灵于1950年首次提出,通过该提出,可以区分和识别人类和计算机的行为。现代验证码提出了人类可以轻松解决的问题,但是计算机难以解决或根本无法解决的问题。一个受欢迎的照片展示了一张由网格分隔的照片,并要求用户识别其中包含特定物品的所有区域,例如花朵或脸。计算机无法理解所要求的内容,因此甚至无法尝试扫描图像。即使可以,图像识别也超出了大多数不是专门为此而构建的程序。
验证码的其他示例包括显示模糊文本、问一个简单的逻辑问题,甚至大声播放问题。在应用程序的关键时刻(例如提示输入密码时)实施验证码挑战可能会使自动化程序停滞不前。
也可以通过简单地限制来自同一来源的错误猜测数量来停止自动化程序。如果发送了太多错误的猜测,该帐户可能会被暂时锁定,从而延迟自动化程序的使用期限,甚至可能需要人工管理员才能解锁。这样做可以防止应用程序中出现反自动化漏洞。
有关反自动化不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 反自动化不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即发现并修复反自动化不足了吗?在我们的游戏竞技场测试你的技能: [从这里开始]
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。以下是阻止他们的方法。
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
想象一下走到一个古老的地下酒吧或地下俱乐部的门口。门上的小洞滑开了,一个身材魁梧的保镖要求输入密码。潜在访客不知道密码并进行猜测。这是不对的,所以保镖不让他们进去。
这就是通常会发生的事情。现在想象一下,猜错密码的访客立即重试,弄错了,再次被拒绝访问。然后想象一下,潜在的访客打开字典并开始读取单词,从 aardvark 之类的东西开始,然后尝试所有可能的单词。
保镖很可能不允许这种活动发生,但是反自动化不足的网站和应用程序就是这样做的。它们允许用户继续尝试密码,即使使用自动化技术,直到他们最终偶然发现了正确的流行语。
在本集中,我们将学习:
- 攻击者如何利用反自动化不足的问题
- 为什么反自动化程度不足的应用程序很危险
- 可以修复此漏洞的技术。
攻击者如何利用反自动化不足的问题?
像我们虚构的地下酒吧访客那样使用自动化或字典式的攻击在网络安全领域并不是什么新鲜事物。实际上,这些蛮力式的攻击是有史以来最早部署的黑客技术。随着计算机增长得更快,它们的效率也越来越高。一台快速的计算机可以在短短几分钟内运行整个单词词典,具体取决于攻击计算机与目标系统之间的连接速度。
这些自动攻击是创建反自动化软件和技术的原因。它使应用程序能够确定用户采取的操作是否超出了典型人类行为的规范。
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。或者,他们可能会使用自动化软件做其他事情,例如向网站论坛发表垃圾评论。
为什么反自动化不足很危险?
允许恶意用户使用自动化来试图规避安全性可能很危险。自动化类攻击之所以从计算的早期一直持续到现在,是因为它们可能非常有效。如果你给一个自动化程序无限的时间来提交密码,而不会因为错误的猜测而产生任何后果,它最终会找到正确的密码。
当在论坛之类的场所使用时,一波又一波明显的脚本评论可能会使有效用户感到沮丧,甚至会浪费系统资源,从而像一种拒绝服务攻击一样行事。自动发布也可以用作网络钓鱼或其他攻击的工具,以向尽可能多的人暴露诱惑。
修复反自动化不足的问题
为了解决反自动化不足的问题,必须让所有应用程序能够确定所采取的行动是由人工实施的,还是由自动化软件实施的。最受欢迎和最广泛使用的技术之一是 完全自动化的公共图灵测试,可区分计算机和人类,或验证码。
验证码基本上是一个 图灵测试,由计算机科学家艾伦·图灵于1950年首次提出,通过该提出,可以区分和识别人类和计算机的行为。现代验证码提出了人类可以轻松解决的问题,但是计算机难以解决或根本无法解决的问题。一个受欢迎的照片展示了一张由网格分隔的照片,并要求用户识别其中包含特定物品的所有区域,例如花朵或脸。计算机无法理解所要求的内容,因此甚至无法尝试扫描图像。即使可以,图像识别也超出了大多数不是专门为此而构建的程序。
验证码的其他示例包括显示模糊文本、问一个简单的逻辑问题,甚至大声播放问题。在应用程序的关键时刻(例如提示输入密码时)实施验证码挑战可能会使自动化程序停滞不前。
也可以通过简单地限制来自同一来源的错误猜测数量来停止自动化程序。如果发送了太多错误的猜测,该帐户可能会被暂时锁定,从而延迟自动化程序的使用期限,甚至可能需要人工管理员才能解锁。这样做可以防止应用程序中出现反自动化漏洞。
有关反自动化不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 反自动化不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即发现并修复反自动化不足了吗?在我们的游戏竞技场测试你的技能: [从这里开始]
想象一下走到一个古老的地下酒吧或地下俱乐部的门口。门上的小洞滑开了,一个身材魁梧的保镖要求输入密码。潜在访客不知道密码并进行猜测。这是不对的,所以保镖不让他们进去。
这就是通常会发生的事情。现在想象一下,猜错密码的访客立即重试,弄错了,再次被拒绝访问。然后想象一下,潜在的访客打开字典并开始读取单词,从 aardvark 之类的东西开始,然后尝试所有可能的单词。
保镖很可能不允许这种活动发生,但是反自动化不足的网站和应用程序就是这样做的。它们允许用户继续尝试密码,即使使用自动化技术,直到他们最终偶然发现了正确的流行语。
在本集中,我们将学习:
- 攻击者如何利用反自动化不足的问题
- 为什么反自动化程度不足的应用程序很危险
- 可以修复此漏洞的技术。
攻击者如何利用反自动化不足的问题?
像我们虚构的地下酒吧访客那样使用自动化或字典式的攻击在网络安全领域并不是什么新鲜事物。实际上,这些蛮力式的攻击是有史以来最早部署的黑客技术。随着计算机增长得更快,它们的效率也越来越高。一台快速的计算机可以在短短几分钟内运行整个单词词典,具体取决于攻击计算机与目标系统之间的连接速度。
这些自动攻击是创建反自动化软件和技术的原因。它使应用程序能够确定用户采取的操作是否超出了典型人类行为的规范。
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。或者,他们可能会使用自动化软件做其他事情,例如向网站论坛发表垃圾评论。
为什么反自动化不足很危险?
允许恶意用户使用自动化来试图规避安全性可能很危险。自动化类攻击之所以从计算的早期一直持续到现在,是因为它们可能非常有效。如果你给一个自动化程序无限的时间来提交密码,而不会因为错误的猜测而产生任何后果,它最终会找到正确的密码。
当在论坛之类的场所使用时,一波又一波明显的脚本评论可能会使有效用户感到沮丧,甚至会浪费系统资源,从而像一种拒绝服务攻击一样行事。自动发布也可以用作网络钓鱼或其他攻击的工具,以向尽可能多的人暴露诱惑。
修复反自动化不足的问题
为了解决反自动化不足的问题,必须让所有应用程序能够确定所采取的行动是由人工实施的,还是由自动化软件实施的。最受欢迎和最广泛使用的技术之一是 完全自动化的公共图灵测试,可区分计算机和人类,或验证码。
验证码基本上是一个 图灵测试,由计算机科学家艾伦·图灵于1950年首次提出,通过该提出,可以区分和识别人类和计算机的行为。现代验证码提出了人类可以轻松解决的问题,但是计算机难以解决或根本无法解决的问题。一个受欢迎的照片展示了一张由网格分隔的照片,并要求用户识别其中包含特定物品的所有区域,例如花朵或脸。计算机无法理解所要求的内容,因此甚至无法尝试扫描图像。即使可以,图像识别也超出了大多数不是专门为此而构建的程序。
验证码的其他示例包括显示模糊文本、问一个简单的逻辑问题,甚至大声播放问题。在应用程序的关键时刻(例如提示输入密码时)实施验证码挑战可能会使自动化程序停滞不前。
也可以通过简单地限制来自同一来源的错误猜测数量来停止自动化程序。如果发送了太多错误的猜测,该帐户可能会被暂时锁定,从而延迟自动化程序的使用期限,甚至可能需要人工管理员才能解锁。这样做可以防止应用程序中出现反自动化漏洞。
有关反自动化不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 反自动化不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即发现并修复反自动化不足了吗?在我们的游戏竞技场测试你的技能: [从这里开始]
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
想象一下走到一个古老的地下酒吧或地下俱乐部的门口。门上的小洞滑开了,一个身材魁梧的保镖要求输入密码。潜在访客不知道密码并进行猜测。这是不对的,所以保镖不让他们进去。
这就是通常会发生的事情。现在想象一下,猜错密码的访客立即重试,弄错了,再次被拒绝访问。然后想象一下,潜在的访客打开字典并开始读取单词,从 aardvark 之类的东西开始,然后尝试所有可能的单词。
保镖很可能不允许这种活动发生,但是反自动化不足的网站和应用程序就是这样做的。它们允许用户继续尝试密码,即使使用自动化技术,直到他们最终偶然发现了正确的流行语。
在本集中,我们将学习:
- 攻击者如何利用反自动化不足的问题
- 为什么反自动化程度不足的应用程序很危险
- 可以修复此漏洞的技术。
攻击者如何利用反自动化不足的问题?
像我们虚构的地下酒吧访客那样使用自动化或字典式的攻击在网络安全领域并不是什么新鲜事物。实际上,这些蛮力式的攻击是有史以来最早部署的黑客技术。随着计算机增长得更快,它们的效率也越来越高。一台快速的计算机可以在短短几分钟内运行整个单词词典,具体取决于攻击计算机与目标系统之间的连接速度。
这些自动攻击是创建反自动化软件和技术的原因。它使应用程序能够确定用户采取的操作是否超出了典型人类行为的规范。
如果应用程序没有足够的反自动化检查,攻击者只需猜测密码直到找到匹配的密码即可。或者,他们可能会使用自动化软件做其他事情,例如向网站论坛发表垃圾评论。
为什么反自动化不足很危险?
允许恶意用户使用自动化来试图规避安全性可能很危险。自动化类攻击之所以从计算的早期一直持续到现在,是因为它们可能非常有效。如果你给一个自动化程序无限的时间来提交密码,而不会因为错误的猜测而产生任何后果,它最终会找到正确的密码。
当在论坛之类的场所使用时,一波又一波明显的脚本评论可能会使有效用户感到沮丧,甚至会浪费系统资源,从而像一种拒绝服务攻击一样行事。自动发布也可以用作网络钓鱼或其他攻击的工具,以向尽可能多的人暴露诱惑。
修复反自动化不足的问题
为了解决反自动化不足的问题,必须让所有应用程序能够确定所采取的行动是由人工实施的,还是由自动化软件实施的。最受欢迎和最广泛使用的技术之一是 完全自动化的公共图灵测试,可区分计算机和人类,或验证码。
验证码基本上是一个 图灵测试,由计算机科学家艾伦·图灵于1950年首次提出,通过该提出,可以区分和识别人类和计算机的行为。现代验证码提出了人类可以轻松解决的问题,但是计算机难以解决或根本无法解决的问题。一个受欢迎的照片展示了一张由网格分隔的照片,并要求用户识别其中包含特定物品的所有区域,例如花朵或脸。计算机无法理解所要求的内容,因此甚至无法尝试扫描图像。即使可以,图像识别也超出了大多数不是专门为此而构建的程序。
验证码的其他示例包括显示模糊文本、问一个简单的逻辑问题,甚至大声播放问题。在应用程序的关键时刻(例如提示输入密码时)实施验证码挑战可能会使自动化程序停滞不前。
也可以通过简单地限制来自同一来源的错误猜测数量来停止自动化程序。如果发送了太多错误的猜测,该帐户可能会被暂时锁定,从而延迟自动化程序的使用期限,甚至可能需要人工管理员才能解锁。这样做可以防止应用程序中出现反自动化漏洞。
有关反自动化不足的更多信息
要进一步阅读,你可以看看OWASP是怎么说的 反自动化不足。你还可以使用以下方法来测试你新获得的防御知识 免费演示 Secure Code Warrior 平台,该平台培训网络安全团队成为终极网络战士。要了解有关克服此漏洞以及其他恶棍威胁的更多信息,请访问 安全代码勇士博客。
准备好立即发现并修复反自动化不足了吗?在我们的游戏竞技场测试你的技能: [从这里开始]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
