ASP.NET網(wǎng)站中驗(yàn)證碼技術(shù)的研究

[摘要]Web網(wǎng)站驗(yàn)證用戶的合法性的傳統(tǒng)方法是要求用戶在客戶端輸入用戶名和密碼，一些別有用心的用戶利用機(jī)器人程序自動地進(jìn)行登錄或者批量注冊，還可以通過像窮舉密碼破解和字典密碼破解之類的攻擊方法來自動探測合法的用戶名和密碼。驗(yàn)證碼技術(shù)正是為了防止機(jī)器人程序此類攻擊而提出的，目前大部分的網(wǎng)站在用戶登錄和注冊時都采用了驗(yàn)證碼技術(shù)。

[關(guān)鍵詞]網(wǎng)站安全 驗(yàn)證碼 驗(yàn)證碼技術(shù)

一、引言

進(jìn)入信息時代以后，隨著網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)應(yīng)用的增加，越來越多的組織開始通過網(wǎng)站這一平臺來進(jìn)行信息的發(fā)布與交流。與此同時，隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展，網(wǎng)站的安全面臨著越來越多的威脅。此外，由于系統(tǒng)漏洞和網(wǎng)站管理制度不完善等方面的原因，要保證網(wǎng)站的安全性并非一朝一夕的事。

二、驗(yàn)證碼技術(shù)的實(shí)現(xiàn)

1. 驗(yàn)證碼技術(shù)簡介

Web網(wǎng)站驗(yàn)證用戶的合法性的傳統(tǒng)方法是要求用戶在客戶端輸入用戶名和密碼，提交到服務(wù)器端后再確認(rèn)其合法性，但是一些別有用心的用戶利用機(jī)器人程序自動地進(jìn)行登錄或者批量注冊，還可以通過像窮舉密碼破解和字典密碼破解之類的攻擊方法來自動探測合法的用戶名和密碼，從而對網(wǎng)站安全造成了極大的威脅，也大大降低了網(wǎng)站響應(yīng)速度[1]。驗(yàn)證碼技術(shù)正是為了防止機(jī)器人程序此類攻擊而提出的，目前大部分的網(wǎng)站在用戶登錄和注冊時都采用了驗(yàn)證碼技術(shù)，也就是在用戶提交表單時需要輸入由服務(wù)器隨機(jī)生成的一段字符。由于驗(yàn)證碼是隨機(jī)產(chǎn)生的字符串，每次請求都會發(fā)生變化，攻擊者很難猜測其具體內(nèi)容且無法窮舉，模擬表單提交時便很難正確填寫并通過驗(yàn)證，這樣就實(shí)現(xiàn)了阻擋攻擊的目的。

2. ASP.NET下驗(yàn)證碼技術(shù)的實(shí)現(xiàn)

(1)在實(shí)現(xiàn)驗(yàn)證碼時，本文例子使用了專門的頁面創(chuàng)建驗(yàn)證碼，產(chǎn)生驗(yàn)證碼的頁面文件名為CreateCheckCode.aspx，由于實(shí)現(xiàn)驗(yàn)證碼的過程利用了繪圖功能，需要在程序中添加ASP.NET用于繪圖的命名空間，即using System.Drawing。在實(shí)現(xiàn)驗(yàn)證碼時本例首先創(chuàng)建了一個用于產(chǎn)生隨機(jī)驗(yàn)證碼的方法CreateCheckCodeString()，然后在Page_Load(object sender， EventArgs e)事件中根據(jù)隨機(jī)產(chǎn)生的驗(yàn)證碼來繪制圖片。

在CreateCheckCodeString()方法中，首先定義了用于驗(yàn)證碼的字符數(shù)組AllCheckCodeArray，接著根據(jù)Random()函數(shù)產(chǎn)生的隨機(jī)數(shù)來從字符數(shù)組中提取用于繪制驗(yàn)證碼圖片的四位隨機(jī)字符。產(chǎn)生的驗(yàn)證碼可以用Session會話存儲，也可以用Cookie存儲，由于有些用戶會禁用Cookie，因此本例中采用了Session會話來存儲隨機(jī)產(chǎn)生的驗(yàn)證碼字符，用于與用戶輸入的字符進(jìn)行比較。CreateCheckCodeString()的完整實(shí)現(xiàn)過程如下:

private string CreateCheckCodeString()

{ //定義用于驗(yàn)證碼的字符數(shù)組

char[] AllCheckCodeArray ={ '0'，'1'，'2'，'3'，'4'，'5'，'6'，'7'，'8'，'9'，'A'，'B'，'C'，

'D'，'E'，'F'，'G'，'H'，'I'，'J'，'K'，'L'，'M'，'N'，'O'，'P'，'Q'，'R'，'S'，'T'，'U'，'V'，'W'，

'X'，'Y'，'Z'，'a'，'b'，'c'，'d'，'e'，'f'，'g'，'h'，'i'，'j'，'k'，'l'，'m'，'n'，'o'，'p'，'q'，

'r'，'s'，'t'，'u'，'v'，'w'，'x'，'y'，'z'};

//定義驗(yàn)證碼字符串

string randomcode = \"\";

Random rd = new Random();

//生成4位驗(yàn)證碼字符串

for (int i = 0; i < 4; i++)

{

randomcode += AllCheckCodeArray[rd.Next(AllCheckCodeArray.Length)];

}

Session[\"code\"] = randomcode;

return randomcode;

}

在Page_Load(object sender， EventArgs e)事件中根據(jù)CreateCheckCodeString()方法產(chǎn)生的驗(yàn)證碼來繪制圖片，完整的實(shí)現(xiàn)過程如下:

//生成驗(yàn)證碼圖片

protected void Page_Load(object sender， EventArgs e)

{

//定義圖片的寬度

int ImageWidth = 55;

//定義圖片高度

int ImageHeigh = 22;

//定義字體，用于繪制文字

Font font = new Font(\"Arial\"， 12， FontStyle.Bold);

//定義畫筆，用于繪制文字

Brush brush = new SolidBrush(Color.Black);

//定義鋼筆，用于繪制干擾線

Pen pen1 = new Pen(Color.FromArgb(255， 100， 100)， 0);

Pen pen2 = new Pen(Color.FromArgb(255， 100， 100)， 0);

//創(chuàng)建一個圖像

Bitmap BitImage = new Bitmap(ImageWidth， ImageHeigh);

//從圖像獲取一個繪畫面

Graphics graphics = Graphics.FromImage(BitImage);

//清除整個繪圖畫面并用顏色填充

graphics.Clear(ColorTranslator.FromHtml(\"#F0F0F0\"));

//定義文字的繪制矩形區(qū)域

RectangleF rect = new RectangleF(5， 2， ImageWidth， ImageHeigh);

//定義一個隨機(jī)數(shù)對象，用于繪制干擾線

Random rand = new Random();

//生成兩條橫向的干擾線

for (int i = 0; i < 2; i++)

{

//定義起點(diǎn)

Point p1 = new Point(0， rand.Next(ImageHeigh));

//定義終點(diǎn)

Point p2 = new Point(ImageWidth， rand.Next(ImageHeigh));

//繪制直線

graphics.DrawLine(pen1， p1， p2);

}

//生成兩條縱向的干擾線

for (int i = 0; i < 2; i++)

{

//定義起點(diǎn)

Point p1 = new Point(rand.Next(ImageWidth)， 0);

//定義終點(diǎn)

Point p2 = new Point(rand.Next(ImageWidth)， ImageHeigh);

//繪制直線

graphics.DrawLine(pen2， p1， p2);

}

//繪制驗(yàn)證碼文字

graphics.DrawString(CreateCheckCodeString()， font， brush， rect);

//保存圖片為gif格式

BitImage.Save(Response.OutputStream， ImageFormat.Gif);

//釋放對象

graphics.Dispose();

BitImage.Dispose();

}

(2)驗(yàn)證碼的使用

在登錄頁面中只需添加如下語句就可以使用該驗(yàn)證碼。

登錄頁面的效果如圖2-1所示。

當(dāng)用戶點(diǎn)擊“登陸”時，在后臺代碼中首先對用戶輸入的驗(yàn)證碼與Session會話中存儲的驗(yàn)證碼進(jìn)行對比，如果正確則調(diào)用檢查用戶名和密碼的方法，反之則提示用戶重新輸入驗(yàn)證碼。單擊“登陸”按鈕的完整事件代碼如下:

protected void DL_Click(object sender， EventArgs e)

{

//讀取Session會話中存儲的驗(yàn)證碼

string sessionCode = Session[\"code\"].ToString();

//讀取用戶輸入的驗(yàn)證碼

string textCode = code.Text.Trim();

//對比驗(yàn)證碼

if (sessionCode == textCode)

{

//驗(yàn)證碼正確，調(diào)用檢查用戶名和密碼的方法

checkUser(nameTex.Text.Trim()， pwdTex.Text.Trim());

}

else

{

//驗(yàn)證碼錯誤，提示用戶重新輸入

message.Text = \"驗(yàn)證碼錯誤，請重新輸入!\";

}

}

參考文獻(xiàn):

[1] 韓玉民 . 驗(yàn)證碼技術(shù)研究及基于ASP.NET的實(shí)現(xiàn)[J] . 開發(fā)案例. 2009.8

[2] 劉明，陳治 . ASP.NET中動態(tài)生成驗(yàn)證碼圖片的方法研究[J] . 信息技術(shù) . 2009(9)

[3] David Litchfield，Chris Anley.The database hacker's handbook[M].Wiley Publishing Inc，2005