我用我的網站的形式提交下列安全(invisble驗證碼),以防止自動提交:看不見驗證碼
- 產生對數x固定鹽MD5的結果,並使其 內形式作爲隱藏字段
- 生成2個隱藏字段A和b,其中A + b = X,a和b是 未加密
- 在提交,使用JavaScript來添加其他純隱藏的字段c 其中c = A + b
- 服務器端的基於C採用MD5與鹽,但是這樣的系統在生產中破獲一起加密 X
比較一下,一個人能夠成功自動提交成千上萬的形式。任何想法如何?
這樣做的一種方式是,黑客已經知道操作是+(通過javascript觀察很容易找到),讀取表單並添加a和b,創建一個新的表單,其中包含額外的c字段C = A + b。他必須先閱讀一份表格,然後創建一份表格。
我的問題是:
- 我是可能的方法來打破我的系統上面提出的假設是什麼?
- 如果是這樣,我該怎麼做才能防止這種黑客行爲?
- 什麼是黑客可能使用的其他替代黑客?
我不想使用真正的驗證碼,因爲它會降低用戶體驗。所有建議都歡迎。