拖动滑块验证很有可能会布署在：申请注册、登陆、流量劫持、付款等情景当中，而灰产绕

开拖动滑块验证的新技术也有很多样，任何时候要是出现一种是现阶段风险控制对策未充分考虑

的状况，就很有可能会导致情况严重的亏损。

 

 

攻击技巧汇总，灰产/网络攻击的视角，对于拖动滑块验证，大家详细介绍了一类绕开的策略：

session主要参数多次重复校检系统漏洞，一类攻击的技巧：JS数据接口的XSS攻击。那麼，从

风险控制/防御方的视角，大家怎样制订防御计划方案呢？孤陋寡闻，害怕空穴来风，仅有把平

常实战演练当中遇到的难题，整理出来，期望有效。
 

 

处于被动防御——对于网络攻击，在这里没有什么特点，即然是处于被动防御，自然是要防止画

蛇添足。对于例如XSS等OWASPTOP系统漏洞，不可以依靠开发设计的仔细。除开在业务流程

上架之前，开发测试和防御检测；还能够在在业务流程上架以后，代管相近海外Hackone网络平

台的国內悬赏金网络平台，或自经营SRC。自然，融合充分考虑费用预算成本费用。
 

 

主动进攻——对于灰黑色产
 

 

主动进攻，对于的是运用拖动滑块验证，来精准识别灰黑色产。在上一段文字实战演练学习笔记

之X厂拖动滑块验证系统漏洞发掘里最终一段，提及了多空缺、滑块多元化的计划方案。在1次拖

动滑块验证更新发布环节中，发觉了1个新途径。初始环节：在客户开展1次图片验证码拖动后，

将requestpost请求数据文件发送至网站服务器。发布计划方案：在网站服务器后端开发发布拖动

滑块验证的js代码，使每一个拖动滑块验证都是在用户客户端转化成1个或好几个任意主要参数，

这类任意主要参数须要追随requestpost请求发送至服务器虚拟机1个简便逻辑性认证。重中之重

取决于：正常情况下客户仅有利用拖动滑块上传的request数据文件才相应是带上任意主要参数

的，但并不强制性规定上传的requestpost请求带上这类任意主要参数。

 

 

精准识别：由于关键圈的灰产下发的软件，全部都是利用可以直接利用上传requestpost请求数据

文件来开展大批量申请注册、刷点击抖音刷赞和恶意网络爬虫等情形。称作：协议刷或打数据接

口，这类方法工作效率极高。再加上个人利益化的缘故，灰产不容易去在意环节，只看重会不会

結果能取得成功发布的计划方案：仅有利用正常情况下拖动滑块，才可以上传带上任意主要参数

的request数据文件发至网站服务器。旧计划方案：利用之前的旧数据接口可以直接上传不带上

任意主要参数的request数据文件到网站服务器同样也可以利用认证。在悄无声息发布后，二种

计划方案并行处理运转，那麼转折点就来临了。
 

 

会不会就代表着旧计划方案的验证码接口回来的ip地址，sdk，captcDHA_flag等数据资料相应

全部都是来源于灰产池；而发布计划方案的验证码接口回来的ip地址，sdk，captcDHA_flag等

数据资料不用说100%，也绝大多数全部都是来源于正常情况下客户人群。这就悄无声息的就做

到了精准识别灰黑色产的实际效果。