想象一下，走到一家老式地下酒吧或地下俱乐部的门口。门上的小洞被推开，一个粗壮的保镖问他密码。潜在的访客不知道密码，于是猜了一下。这是错的，所以保镖不让他们进去。

这就是通常会发生的事情。现在想象一下，猜错了密码的访客立即再试一次，结果错了，又被拒绝访问。然后想象一下，这个潜在的访问者打开字典，开始读单词，从像土豚这样的东西开始，继续尝试每一个可能的单词。

最有可能的是，保镖不会允许这种活动发生，但反自动化不足的网站和应用程序就是这样做的。他们允许用户不断尝试密码，甚至使用自动化技术，直到他们最终偶然发现适当的短语。

在这一集里，我们将学习。

• 攻击者如何利用不充分的反自动机
• 为什么反自动化不足的应用程序是危险的
• 可以修复这个漏洞的技术。

攻击者如何利用不充分的反自动化？

像我们想象中的酒馆访客那样采用自动化或字典式的攻击，在网络安全领域并不新鲜。事实上，这些暴力式攻击是有史以来最早部署的一些黑客技术。而随着计算机速度的提高，它们变得越来越高效。一台快速的计算机可以在短短几分钟内读完一整本单词词典，这取决于攻击计算机和目标系统之间的连接速度。

这些类型的自动化攻击是反自动化软件和技术被创造的原因。它使应用程序有能力确定用户正在采取的行动是否超出了典型人类行为的规范。

如果一个应用程序没有足够的反自动化检查，攻击者可以简单地不断猜测密码，直到他们找到一个匹配的密码。或者，他们可能使用自动化软件来做其他事情，如向网站论坛发送垃圾评论。

为什么不充分的反自动化是危险的？

允许恶意用户采用自动化手段来试图规避安全问题可能是很危险的。自动化类型的攻击之所以从计算机的早期一直持续到现在，是因为它们可以非常有效。如果你给一个自动化程序无限的时间来提交密码，而猜错了又没有任何后果，它最终会找到正确的密码。

当在像论坛这样的地方使用时，一波又一波明显的脚本评论可能会使有效的用户感到沮丧，甚至通过浪费系统资源而像一种拒绝服务的攻击。自动发帖也可能被用作网络钓鱼或其他攻击的工具，以便将诱饵暴露给尽可能多的人。

修复不充分的反自动化问题

为了解决反自动化不足的问题，所有的应用程序都必须有能力确定正在采取的行动是由人类还是自动化软件实施的。最流行和广泛使用的技术之一是完全自动公开图灵测试，以区分计算机和人类，或CAPTCHA。

CAPTCHA基本上是一个图灵测试，由计算机科学家Alan Turing在1950年首次提出，据此，人类和计算机的行为可以被分离和识别。现代验证码提出了人类可以轻松解决的问题，但计算机却很难解决，或者根本无法解决。一个流行的验证码展示了一张由网格分隔的照片，要求用户识别所有带有特定项目的区域，如一朵花或一张脸。计算机无法理解所要求的是什么，因此甚至无法尝试扫描该图像。即使它能做到，图像识别也超出了大多数不是专门为其设计的程序。

CAPTCHA的其他例子包括显示模糊的文字，问一个简单的逻辑问题，甚至大声播放问题。在应用程序的关键点上实施验证码挑战，例如在提示密码时，可以阻止自动化程序的运行。

也可以通过简单地限制同一来源的错误猜测的数量来停止自动化程序。如果有太多的错误猜测被送进来，账户可以被暂时锁定，从而将自动化程序延迟到有用的程度，或者甚至可能需要一个人工管理员来解锁。做到这些，应该可以防止应用程序内的反自动化漏洞。

关于 "反自动化不足 "的更多信息

要进一步阅读，你可以看看OWASP对不充分的反自动化是怎么说的。你也可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识，该平台培训网络安全团队成为终极网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊的信息，请访问Secure Code Warrior 博客。

准备好现在就去寻找和修复不足的反自动装置了吗？在我们的游戏竞技场测试你的技能。[从这里开始]