验证码的前世今生（前世篇）

0×4 图片验证码的没落

在日日夜夜的对抗中，攻击者想到了一个办法，可以一劳永逸的解决图片验证码的问题。在我对这些搞灰产的人们表示憧憬之前，先说点题外话。

2009年，google买下了CMU的一个项目:recaptcha。这个项目是CAPTCHA的进阶版本。它所基于的假设与CAPTCHA一致，但是它同时让用户识别两张图片，一张用于验证用户身份，而另一张用于帮助难以用机器识别的电子文档。

恩，如果读者有从事此类灰产相关工作的人，请注意recaptcha右下角的小字（stop spam.read books看看这情怀）。

而recaptcha的作者，当然又是:路易斯·冯·安。在recaptcha的基础上，路易斯进一步提出了一个概念:人类计算(Human Computation) 。

简单来说，他希望借由计算机和网络平台，发挥人类技能，去解决大规模、复杂的问题，具体到recaptcha项目来说，就是借助大家的力量去帮助数字化书籍。（该思想的具体应用还包括一个叫ESP GAME的游戏以及后面会提到的no recaptcha）

但是，在2004年（我能搜到这个新闻的最早时间），就有人已经完美的实现了这个概念:人工打码，并且起源地:中国（此处我应该感到自豪吗）。

所谓的人工打码就是，将验证码的请求转发给某平台，该平台会将这个信息发送给平台上的打码工，然后打码工人识别后，将答案反送回请求者。通过打码平台的api，攻击者可以写程序实现对目标的自动化操作，而验证码的部分只要交给打码平台就可以了。

打码平台在国内市场上的火爆，有几个原因:

[1].从2006年开始，国内互联网的迅猛发展，使得流量变现成为了可能。各种邮件营销、SEO、IM工具等都迫切的需要稳定的可以绕过图形验证码的方法。而近些年兴起的基于数据的诈骗、账号盗取等更进一步加剧了这个趋势。

[2].打码平台的爆发式发展也同时得益于中国经济蓬勃发展的原因之一：人口多并且人力成本低。网络上一种常见的网赚模式，就是打码工模式，一个只要会上网，能识别验证码的人就可以参与。PS:难道你没有看见过下面这些广告吗？大学生、大妈，无需学历，只要会上网、会打字，一天包赚XXXXX。当然其中除了打码平台，还有很多骗子。

可以打码的类型包括：

1. 普通字母验证码

2. 中文验证码

3. 鼠标类型类验证码

4. 选择题类型(比如某些网游中做任何会遇到的验证码)

5. 旋转类验证码

6. 知识常识问答型验证码

以上验证码的价格在平台上都是明码标价，普通的字母验证码1条在1分钱左右，而知识问答类在6分钱左右，相较于利用这些灰产所会产生的利益，真是件美物廉，重点是还非常稳定。

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!