前言

由于網站注冊入口容易被黑客攻擊，存在如下安全問題：

1. 暴力破解密碼，造成用戶信息泄露
2. 短信盜刷的安全問題，影響業務及導致用戶投訴
3. 帶來經濟損失，尤其是后付費客戶，風險巨大，造成虧損無底洞
   

所以大部分網站及App 都采取圖形驗證碼或滑動驗證碼等交互解決方案， 但在機器學習能力提高的當下，連百度這樣的大廠都遭受攻擊導致點名批評， 圖形驗證及交互驗證方式的安全性到底如何？ 請看具體分析

一、 漯河市人才交流中心PC 注冊入口

簡介： 漯河市人才交流中心，是市人力資源和社會保障局直屬的副處級事業單位；漯河人才市場，是省人力資源和社會保障廳與漯河市人民政府共同組建的省級區域性人才市場，是全市公共化、社會化、專業化人才服務機構。 漯河市人才交流中心（漯河人才市場）位于沙北黃河路中段。
中心下設綜合信息科、市場交流科（人力資源配送中心）、人事代理科、人才培養科，通過實行高效的管理向社會提供人才交流、人事代理、人才招聘、人才配送、人才測評、人才信息交流等多層次、全方位的服務，技術支持：河南訊豐信息技術有限公司。

二、 安全性分析報告：

容聯云通訊研發的滑動驗證碼，存在嚴重的問題，滑動拼圖的設計存在致命缺陷，使設計的功能無效，攻擊者無需進行識別圖形就可以獲得距離。

三、 測試方法：

前端界面分析，這是漯河市人才交流中心自己研發的滑動驗證碼，網上沒有現成的教學視頻，但形式都差不多，發現嚴重問題:
前端將后臺直接返回的信息中包含位置信息，用JS 注入方式直接獲取位置，再作為參數提交即可
這次還是采用模擬器的方式，簡單，只需要注入JS，兩步就可以搞定：

1. 模擬器交互部分

package com.newxtc.send.selenium;稍后補充，最近工作比較忙 ！ 

  由于碰到嚴重設計缺陷，本次測評非常簡單

二丶結語

漯河市人才交流中心，作為政府部門下屬的重要單位， 在本次測評時，圖形驗證碼在后臺直接輸出， 這就明白的告訴攻擊者，答案已經給你了，不需要進行圖形識別
不過，前端的水平的確可以， 在前端完成了超級無法的加干擾線、文字扭曲等展示，可惜最終如皇帝的新裝， 等于沒有。總之作為實力雄厚的國有大企業，出現這么嚴重的低級問題！ 在業界面前被打臉， 對不起自己政務下屬單位的身份 ！

很多人在短信服務剛開始建設的階段，可能不會在安全方面考慮太多，理由有很多。
比如：“ 需求這么趕，當然是先實現功能啊 ”，“ 業務量很小啦，系統就這么點人用，不怕的 ” ， “ 我們怎么會被盯上呢，不可能的 ”等等。

有一些理由雖然有道理，但是該來的總是會來的。前期欠下來的債，總是要還的。越早還，問題就越小，損失就越低。

所以大家在安全方面還是要重視。（血淋淋的栗子！）#安全短信#

戳這里→康康你手機號在過多少網站注冊過！！！

谷歌圖形驗證碼在AI 面前已經形同虛設，所以谷歌宣布退出驗證碼服務， 那么當所有的圖形驗證碼都被破解時，大家又該如何做好防御呢？

>>相關閱讀
《騰訊防水墻滑動拼圖驗證碼》
《百度旋轉圖片驗證碼》
《網易易盾滑動拼圖驗證碼》
《頂象區域面積點選驗證碼》
《頂象滑動拼圖驗證碼》
《極驗滑動拼圖驗證碼》
《使用深度學習來破解 captcha 驗證碼》
《驗證碼終結者-基于CNN+BLSTM+CTC的訓練部署套件》