虚拟机安全防护特点?（在网页中,服务器端生成的验证码图片有什么要求,比如字体,颜色,图片大小...）

使用验证码是防止机器人重复提交垃圾信息有效的方式之一。

大家好，今天小编关注到一个比较有意思的话题，就是关于虚拟主机 验证码的问题，于是小编就整理了2个相关介绍虚拟主机验证码的解答，让我们一起看看吧。

文章目录：

1. 虚拟机安全防护特点?
2. 在网页中,服务器端生成的验证码图片有什么要求,比如字体,颜色,图片大小...

一、虚拟机安全防护特点?

虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟系统通过生成现有操作系统的全新虚拟镜像，它具有真实windows系统完全一辩迅样的功能，进入虚拟系统后，伍灶唯所有腔培操作都是在这个全新的独立的虚拟系统里面进行，可以独立安装运行软件，保存数据。

最好的程度是虚拟机可以使子系统同拥有和真正系统相同的安全措施。也就是虚拟化闭慧迅不能对在子机上运行碧御的软件增加保护，如果，软件的特定不分在真正的操作系统中受到攻击，那么在VM中也会被攻击。这是因为虚拟技术的目标是使虚拟机表现得和真实计算机一样。所以，需要向在真正操作系统上一样对子机进行加固和补丁配置。 　　现在，虚拟化可以被用于完成一些隔离——就是使用软件的特定不分，并在轿此子机上运行，并和主机或者其他子机上的功能分别开。虽然继续谨慎地处理，聪明的攻击者可能可以攻击虚拟机提供的隔离。它不是没有价值的

虚拟主机在网站搭建时最常用的空间类型之一，由于其性价比比较高，非常适合中小型企业或者个人站长，能够降低服务器方面的成本。今天呢，美国主机商-BlueHost主要给大家介绍8种虚拟主机常见的安全防护方式。



虚拟主机常见的8种安全防护方式！

一、数据验证

非法输入是程序与数据库常见的漏洞之一，在数据被输入前应该对其合法性进行检验。通常使用的检验方式是数据验证，并磨设置程序，对任何输入的内容进行检查，接收能接收的内容，拒绝不能接收的内容。

二、地址栏变量验证

对于从地址栏上收到的变量，需要验证其合法性，比如收到了ID值，则需要确定ID是否为数字，有没有攻击符号等。

三、目录权限

确保用户只能访问网站目录下的内容，而无法目录以外的，并且要确认程序中包含的文件位置正确。

四、页面操作授权验证

如果想要访问或更改页面，在登入后坦山台程序时需经过授权验证，否则不允许登入。

五、配置文件安全

对程序中的配置文件应该进行重点防护，并不允许用户直接访问，将文件扩展名更改为asp/php等。

六、资源释放

程序中使用了关键资源后，应进行显示释放和关闭。

七、错误提示

过于详细的错误提示可能会暴露数据库文件的路径，也有攻击者会通过给出绝信斗的提示信息来发现可能存在的漏洞。

八、验证码的使用

使用验证码是防止机器人重复提交垃圾信息有效的方式之一，包括用户登录、表单提交、在线反馈等。

二、在网页中,服务器端生成的验证码图片有什么要求,比如字体,颜色,图片大小...

一.常见的验证码

1，四位数字，随机的一数字字符串，最原始橡逗运的验证码，验证作用几乎为零。

2，CSDN网站用户登录用的是GIF格式，目前常用的随机数字图片验证码。图片上的字符比较中规中矩，验证作用比上一个好。没有基本图形图像学知识的人，不可破！可惜读取它的程序，在CSDN使用它的第一天，好像就在论坛里发布了，真是可怜！

3，QQ网站用户登录用的是PNG格式，图梁梁片用的随机数字+随机大写英文字母，整个构图有点张扬,每刷新一次,每个字符还会变位置呢!有时候出来的图片,人眼都识别不了,厉害啊…

4，MS的hotmail申请时候的是BMP格式, 随机数字+随机大写英文字母+随机干扰像素+随机位置。

5，Google的Gmail注册时候的是JPG格式，随机英文字母+随机颜色+随机位置+随机长度。

6，其他各大论坛的是XBM格式，内容随机。

二.验证码作用分析

验证码起源：因为攻击者会使用有害程序注册大量的 Web 服务帐户（如 Passport）。攻击者可以使用这些帐户为其他的用户制造麻烦，如发送垃圾邮件或通过同时反复登录多个帐户来延缓服务的速度。在大多数情况下，自动注册程序不能识别此图片中的字符。简单的说呢，就是防止攻击者编写程序，自动注册，重复登录暴力破解密码。验证码技术应运而生。

验证码实现流程：服务器端随机生成验证码字符串，保存在内存中，并写入图片，发送给浏览器端显示，浏览器端输入验证码图片上字符，然后提交服务器端，提交的字符和服务器端保存的该字符比较是否一致。一致就继续，否则返回提示。攻击者编写的robot程序，很难识别验证码字符，顺利的完成自动注册，登录。。。。。。。。。而用户可以识别填写，所以这就实现了阻挡攻击的作用。而图片的字符识别，就是看图片上的干扰强度了。就实际的效果来说，验证码只是增加攻击者的难度，而不可能完全的防止。

1，论坛中的验证码的作用

目前，不少网站为了防止用户利用机器人自动注册、登录、灌水，都采用了验证码技术。所谓验证码，就是将一串随机产生的数字或符号，生成一幅图片，图片里加上一些干扰象素（防止OCR），由用户肉眼识别其中的验证码信息，输入表单提交网站验证，验证成功后才能使用某项功能。

因为你的WEB站有时会碰到客户机恶意攻击,其中一种很常见的攻击手段就是身份欺骗它通过在客户端脚本写入一些代码,然后利用其客户机在网站论坛反复登陆,或者攻击者创建一个HTML窗体,其窗体如果包含了你注册窗体或发帖窗体等相同的字段,然后利用"http-post"传输数据到服务器,服务器会执行相应的创建帐户,提交垃圾数据等操作,如果服务器本身不能有效验证并拒绝此非法操作,它会很严重耗费其系统资源,降低网站性能甚至使程序崩溃.

而现在流行的判断访问WEB程序是合法用户还是恶意操作的方式,就是采用 一种叫 "字符校验"的技术.WEB网站像现在的动网论坛,他采用达到方法是为客户提供一个包含随即字符串的图片，用户必须读取这些字符串,然后随 登陆窗体或者发帖窗体等用户创建的窗体一起提交.因为人的话,可以很容易读出图片中的数字,但如果是一段客户端攻击代码,通过一般手段是很难识别验证码的.这样可以确保当前访问是来自一个人而非机器.

编程实现原理：使用某种动态编程语言，比如PHP，ASP，随即生成一个随机数,大多为4位数字和字母,或者是数字和字母的组合,生成以后,用GD库的支持生成一张根据随机数来确定的图片,把随机数写入到session中,传递到要验证的页面,生成的图片显示给登陆着,并要求登陆者输入该随机数内容,提交到验证页面,验证session的内容和提交的内容是否一致,这就是大致的思路!那么怎么编写验证指芹码程序呢，相信Google一下，就有很多现成的代码。

2，申请QQ号时候验证码的作用

如今你要申请一个QQ号，需要输入很复杂的验证码：验证码由若干个汉字组成，还加上了花哩唬哨的背景，使得有些汉字实在难以辨认。腾讯这么做，是为了防止有人利用软件批量获取QQ号码----每次提交都要输入随机生成的验证码，这是软件难以做到的。

三.图片验证码技术之一：利用Xbm格式图片

生成验证代码的技术有很多，这里只说与我们论坛有关系的这项技术。

x-xbitmap格式的图片（以下简称为Xbm格式）特殊，就在于它并不跟gif，jpg等图片格式一样，是一个真正的纯2进制图片格式，而是ascii码文件--换句话说，它是一个纯文本文件，在Windows系统下，系统浏览器将它翻译成图片来进行显示。

下面让我们先来制作一个Xbm图形格式图片：

新建一个文本文件，将以下内容复制进去：

#define counter_width 48

#define counter_height 9

static unsigned charcounter_bits[]={ff,3c,7c,3c,70,3c,fe,7c,fe,7c,78,7c,ee,ee,ee,ee,7c,ee,e0,ee,60,ee,74,ee,70,fe,30,

fe,70,fe,38,ec,e0,ec,70,ec,1c,e0,ee,e0,70,e0,fe,7e,fe,7e,70,7e,fe,3c,7c,3c,70,3c}

然后，将此文本文件保存为名字为 test.Xbm的文件。

接下来，让我们看看如果在ie中打开它，会出现什么情形？？（新开一个ie，然后将test.Xbm直接拖拽到它上面），哈，出现了如下图一样的情景，在浏览器中出来的，已经不是我们的文本，而是一个黑白的图片了！

让我们看看上面那代码中，每一行的意义：

#define counter_width 48 这里定义了图片的宽度，一般都设置为8的整数倍，因为我们想显示的是6个数字，所以就设置成了8*6=48的宽度

#define counter_height 9 这里设置了图片的高度，可以任意设置，但是注意，这里的数字直接决定了下面的数组中，是用几组数来表示一个显示出的数字

static unsigned char counter_bits[]={7c,3c,7c,3c,70,3c,fe,7c,fe,7c,78,7c,ee,ee,ee,ee,7c,ee,e0,ee,60,ee,74,ee,70,fe,30,

fe,70,fe,38,ec,e0,ec,70,ec,1c,e0,ee,e0,70,e0,fe,7e,fe,7e,70,7e,fe,3c,7c,3c,70,3c}

在这里，是图片用来显示内容的十六进制的代码，在这里，是9*6=54个数字来表示，值得一提的是，由于在图片显示中，是显示完了一行后，再显示第2行，直到最后一行，因此更为准确的描述是6*9显示，每6个数表示一行（因为我们显示了6个数字），一共9行（我们的定义中，是采用的高度为9的数组）

正如static unsigned char英文意思为静态的，无符号的，烧焦的。它只能用来显示黑白两种颜色。二进制中的1将来用显示为黑色，0为白色。

因此，上面的7c、3c这样的数字，就是一个256位的2进制，其中的1表示黑色，0表示白色，由此绘制出每个数字的图形。

由于Xbm文件的性质决定，它只能显示黑/白两种颜色，而且以数组的方式来表现每个要显示的图形，注定了不能用它生成太复杂的图案。那么，这样的图片格式到底有什么用呢？？当然有的，不少asp论坛/聊天室的登陆验证码，就是用这样的方法在asp中动态生成的。

四.为什么要打补丁才能正常显示呢？

在WindowsXP SP2更改后的安全策略中，因为基于安全因素的考虑，默认去掉了对 image/x-xbitmap 图片格式的支持（该图片的后缀名为Xbm）。，为什么微软在XP的SP2升级包中又要禁止掉它呢？？这是因为Xbm的漏洞。

Microsoft Internet EXPlorer和Outlook EXPress在处理WEB页，HTML邮件，EMAIL附件中畸形Xbm图象文件会导致崩溃，问题存在于对Xbm文件中的内容缺少检查，MSIE按照图象规定的长度和宽度分配内存，攻击者可以提高超大的长度和宽度数值导致系统消耗内存或者访问冲突。

换句话说，如果构造一个长宽的尺寸特别大的Xbm文件，很容易导致Windows的内存耗尽，导致程序无响应或者死机。本身来说，这不算一个特别严重的漏洞，因为根据安全公告，无法造成溢出，不会存在太大的权限漏洞。但是由于XP的SP2强调安全性，因此将Xbm功能禁用了。从这点上可以看出，SP2对于安全的确比较重视，将有漏洞的功能基本上都补上或禁用了，作为网络管理员，我对微软的做法表示支持，因为操作系统默认设置的不安全，常常是造成非专业用户被攻击的首要因素。

解禁方法：

由此看出，以后我们访问某些采用生成Xbm作为验证代码的站点的时候，就相当不方便了，如果有必要，可以通过简单的操作注册表恢复我们需要的功能。

打开注册表(开始－－－运行－－－regedit－－－－回车)，然后进到键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet EXPlorer\Security]

将blockXbm的值改为00000000（dword，双字节），没有的话新建立一个就可以了。

之后重新IE或者重新启动机器，则Xbm格式的图片就可以看到了。

五，Xbm的趋势

从SP2禁止Xbm的趋势看出，微软打算似乎已经开始打算放弃对Xbm格式的支持了。那么，作为程序编写者，有必要未雨绸缪，寻找其他生成验证码的途径。在php中，可以通过调用gd库等方式生成jpg/gif等图形格式的注册验证码，那么在asp中有其他的办法么？

事实上图片验证密码的关键是--不能在客户端留下图片的真实url，或可对应反推源地址的信息，因此asp可以采用以下2种方式实现支持SP2的图形验证码。

如果是购买的虚拟主机，那么可以采用将jpg/gif图片放到数据库，然后用session传值的方式，最后利用asp直接从数据库中输出图片，这方法的好处是不需要特别设置服务器端，坏处则是每次生成验证图片时都会需要与数据库连接，增加了开销。

到此，以上就是小编对于虚拟主机 验证码的问题就介绍到这了，希望介绍关于虚拟主机 验证码的2点解答对大家有用。

服务器购买/咨询热线：15637009171或15617636856