Ajax обновление капчи - дырка в безопасности

@Зверушь · Регистрация: 01.05.2010

Студворк — интернет-сервис помощи студентам

Доброго времени суток. Зашел в тупик, помогите решить проблему.

Есть страница регистрации пользователя, на которую выводится изображение капчи. Под изображением находится кнопка "Обновить капчу, если вы не видите текст".
Щелчек по кнопке посылает ajax запрос на сервер и получает ответ от сервера в виде изображения новой капчи.
На сервере же формируется капча, то есть создается некоторая запись в БД и файл изображения. По истечении некоторого срока, скажем 20 минут, просроченные капчи удаляются из БД вместе с файлом изображения.
Проблема в том, что злоумышленник может послать много-много ajax запросов, засрав мне БД и свободное дисковое пространство до отказа. И это не говоря о нагрузке на сервер. Как это можно предотвратить?

@AmsTaFFix · 13.11.2014, 10:48

стоп-стоп, ЧТО!? какое ещё сохранение в БД и в файловой системе?! Изображение генерируется на лету скриптом и его правильных ответ сохраняется в сессии, все что происходит при "обновить каптчу", это обращение к скрипту, который опять сгенерирует и отобразит изображение + запишет в сессию правильных ответ, все

Добавлено через 1 минуту
так что да, злоумышленник может вас подосить (слегка так), но это все что он сможет, и... никому не говорите что это за сайт такой на котором такая капча

@Зверушь · 13.11.2014, 10:51 **[ТС]**

вот оно что! Придется полностью переделывать капчу)))
Сейчас в БД записывается ип, браузер и хеш правильного ответа. При вводе пользователем капчи проверяются все эти поля.
Вопрос: как можно сгенерировать изображение на лету без сохранения на диске? Сейчас оно сохраняется на диске для того, что бы к нему можно было обратиться при помощи тега img, атрибутом src.

@AmsTaFFix · 13.11.2014, 10:54

в тэг img вписывайте скрипт http://some.ru/captcha.php, который сам же генерирует изображение, о генерации изображения в PHP куча всего написано

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@Зверушь 461 / 369 / 94 Регистрация: 01.05.2010 Сообщений: 1,761

	Ajax обновление капчи - дырка в безопасности 13.11.2014, 10:26. Показов 1257. Ответов 3 Метки нет (Все метки) Доброго времени суток. Зашел в тупик, помогите решить проблему. Есть страница регистрации пользователя, на которую выводится изображение капчи. Под изображением находится кнопка "Обновить капчу, если вы не видите текст". Щелчек по кнопке посылает ajax запрос на сервер и получает ответ от сервера в виде изображения новой капчи. На сервере же формируется капча, то есть создается некоторая запись в БД и файл изображения. По истечении некоторого срока, скажем 20 минут, просроченные капчи удаляются из БД вместе с файлом изображения. Проблема в том, что злоумышленник может послать много-много ajax запросов, засрав мне БД и свободное дисковое пространство до отказа. И это не говоря о нагрузке на сервер. Как это можно предотвратить? 0

@AmsTaFFix 177 / 125 / 28 Регистрация: 30.10.2013 Сообщений: 686
	13.11.2014, 10:48
	стоп-стоп, ЧТО!? какое ещё сохранение в БД и в файловой системе?! Изображение генерируется на лету скриптом и его правильных ответ сохраняется в сессии, все что происходит при "обновить каптчу", это обращение к скрипту, который опять сгенерирует и отобразит изображение + запишет в сессию правильных ответ, все Добавлено через 1 минуту так что да, злоумышленник может вас подосить (слегка так), но это все что он сможет, и... никому не говорите что это за сайт такой на котором такая капча 1

@Зверушь 461 / 369 / 94 Регистрация: 01.05.2010 Сообщений: 1,761
	13.11.2014, 10:51 [ТС]
	вот оно что! Придется полностью переделывать капчу))) Сейчас в БД записывается ип, браузер и хеш правильного ответа. При вводе пользователем капчи проверяются все эти поля. Вопрос: как можно сгенерировать изображение на лету без сохранения на диске? Сейчас оно сохраняется на диске для того, что бы к нему можно было обратиться при помощи тега img, атрибутом src. 0

@AmsTaFFix 177 / 125 / 28 Регистрация: 30.10.2013 Сообщений: 686
	13.11.2014, 10:54
	в тэг img вписывайте скрипт http://some.ru/captcha.php, который сам же генерирует изображение, о генерации изображения в PHP куча всего написано 1