アリババクラウドスライダー検証の紹介:
スワイプ認証は、アリババの人間と機械の認識の最前線を担う認証コード製品です。 ユーザーは右スワイプするだけで、考えずに認証を通過できます。
文書リンク:https://help.aliyun.com/document_detail/66317.html
製品購入リンク:https://yundun.console.aliyun.com/?p=afs#/person-machine
アリババクラウドスライダー検証コードの一般的な手順は以下の通りです:
ウェブページが読み込まれた後、検証コードを受け取>、ユーザーが検証コードをスライド>、Alibaba Cloudインターフェースからcsessionidとsigパラメータを取得し>>、csessionid、sig、nc_token、nc_loginパラメータを含むバックエンドインターフェースからリクエストします。>バックグラウンドでパラメータを取得して>検証し、フロントエンドの検証結果に戻します
レンダリング:
HTMLコードは以下の通りです:
test.ashxのインターフェースコードは以下の通りです:
ip.ashxインターフェースコード:
バックグラウンドで検証すると、6つのパラメータがあります。4つのパラメータは前景から取得し、2つは背景から埋め込まれます次のように:
RemoteIpパラメータについては、公式のAlibaba Cloudドキュメントからこのパラメータの説明が見つかりませんでした。。。。。 文字通り、このパラメータはリクエスターのIPアドレスであることがわかります...
web.configには以下のような設定があります:
IsRemoteIpが真の場合は偽造IPである8.8.8.8を返し、偽の場合はユーザーの本物のIPを返します(下図参照):
テスト結果は、偽のリクエストIPであれ本物のリクエスターIPであれ、検証結果に影響を与えないため、RemoteIPはほとんど検証結果に影響を与えないはずです...
もしcsessionidが偽造されれば検証は失敗し、トークンが偽造されれば検証も失敗します!
以下の画像は偽造トークンの価値を示しています:
(終わり)
ソースコードダウンロード:
観光客の皆さん、この投稿の隠された内容を見たい方は、どうぞ 答える
| 
掲載地 2018/04/02 13:30:39
|
|
|
|
掲載地 2019/01/11 11:45:01
|
掲載地 2018/04/04 14:13:44
|
