验证码采用cookie保存

senir

我用php写验证码（生成一幅图），在生成图片的时候把验证码的数字保存在cookie中，这样做会被绕过吗？

bs

1、不能明文保存在cookie中，否则等于没有验证码，反而增加用户麻烦
2、保存在cookie中一般是经过md5加密，仅做客户端验证，服务端一样要判断

HonestQiao

除非你的验证码的明文和密文之间，有一个很好的方法去对应，而这种关系，又不被外界所摸透。

如果是简单的12345对应md5(12345)，那别人也可以这么生成cookie.

bs

呃，另一种只能通过ajax达到客户端初步验证的目的了。

方法是存到cookie前连接个密钥再md5，提交后直接用cookie而节省session的开销。

senir

谢谢两位大侠！
请问两位大侠，一般这种攻击是如何实现的？
我想到一种方法是通过php的fsockopen，打开写验证码的那个php文件（image.php），通过获得header里的东西，可以得到我写的cookie值，然后在fsockopen打开执行发帖的那个php（post.php），发送头信息，里面加上那个验证码，绕过验证。
我这个猜想正确吗？
我的程序在前端js有判断，就是通过js读出cookie里的验证码值跟用户输入的作对比，是不是这种js对攻击不起作用？

bs

嗯，你可以了解一下http协议，客户端的验证只是为了有更好的用户体验，真正的安全措施一定在服务端。

senir

谢谢，明白了。
就是说验证码明文保存在cookie里等于没用。
可以用SESSION保存，或者想用cookie保存，那就在服务器加密一下（可以设个简单的密钥），然后保存到cookie里，然后服务器端获得这个cookie值和用户输入的验证码数字，把用户输入的数字加上密钥加密一下跟cookie值做对比，一样说明是正确的，不一样就是错误的。
这样如果要攻击，只能从头信息里得到这个cookie值，没有密钥很难猜出原来值，所以也就很难绕过了。

senir

但是这样就不能先在客户端判断一次了，只能在服务器端判断了。

bs

聪明

senir

原帖由 HonestQiao 于 2009-4-13 15:28 发表
除非你的验证码的明文和密文之间，有一个很好的方法去对应，而这种关系，又不被外界所摸透。

如果是简单的12345对应md5(12345)，那别人也可以这么生成cookie.

小乔说的这个我没看懂， 比如我的验证码是1234，然后MD5之后是一个长字符串，保存在cookie中，攻击者只能读到这个cookie中的长字符串，但是他不知道我的原数字是什么，那他怎么绕过呢？