C#发现之旅第九讲 ASP.NET验证码技术

C#发现之旅第九讲 ASP.NET验证码技术2011-04-27 cnblogs 袁永福为了让大家更深入的了解和使用C#，我们将开始这一系列的主题为“C#发现之旅 ”的技术讲座。考虑到各位大多是进行WEB数据库开发的，而所谓发现就是发现我们所不熟悉的领域，因此本系列讲座内容将是C#在WEB数据库开发以外的应用。目前规划的主要内容是图形开发和XML开发，并计划编排了多个课程。在未来的C#发现之旅中，我们按照由浅入深，循序渐进的步骤，一起探索和发现C#的其他未知的领域，更深入的理解和掌握使用C#进行软件开发，拓宽我们的视野，增强我们的软件开发综合能力。

。

课程说明

大家好，在上一节课程中，我们开始了解了如何在在ASP.NET中使用图形编程的技术。今天我们针对验证码技术深入的了解图形编程在ASP.NET中的应用。

验证码技术是目前很多WEB程序采用的一种安全防御技术。系统在登录的时候不但要输出用户名和密码，还要额外输入一种随机生成的验证码文本，此时用户需要正确的输入这三个信息才能登录到系统中。

由于验证码技术能有效的抵御某些黑客攻击，因此得到相当广泛的应用，而且在一些C/S系统中也采用了这种源自WEB开发的技术。

验证码原理

在现在的软件运行环境下，安全成为大部分软件必须考虑的问题，黑客无处不在，攻击方式日益丰富，尤其是WEB系统由于其开放性更是遇到严峻的考验，黑客事件层出不穷，造成的损失和影响也不断变大，对此我们软件开发人员需要对此有相当的认识并采取措施抵御各种黑客攻击。

枚举字典安全攻击

在各种黑客攻击中，很常见的就是套取用户名和密码，其中很多是采用枚举字典的方式来不断的测试用户名和密码。

比如某黑客获得一银行账号，然后打开账号的开户银行的网上银行登录界面。分析其中的HTML代码，发现其页面粗制滥造，没有验证码，没有任何安全控制，只要求输入银行账号和取款密码就可以登录。黑客心中大喜，马上写了一个程序，直接调用HTTP协议，使用程序来模拟浏览器向网上银行服务器提交账号和密码尝试登录。由于取款密码是6位阿拉伯数字，因此也就有一百万种组合，黑客的电脑从六个零开始测试一直到六个九，这一定会测试出真正的密码。黑客找到一台宽带高速上网的电脑，运行套取取款密码程序后就忙其他事了，假设这台电脑1秒能测试10个密码，于是花费10万秒的时间肯定能找到密码。10万秒也就是27小时，一天多点的时间，实际上很可能用不了那么长的时间。黑客外头转了一圈回来，发现密码已经找到了，于是马上登录网上银行捞钱，或者伪造一个银行卡去ATM机上提取现金。也就是说黑客最多花了一天时间即可获得数目不可预知的非法收入。