极验验证码产品分析评测

相信爱看直播的小伙伴们，对这种验证码不会陌生。

在熊猫、斗鱼、企鹅等直播平台上都会出现此验证码。作为C端用户来说，楼主觉得此验证码有趣便捷~觉得验证的过程就像游戏一样！ 偶然的机会，在Freebuff上面有看到关于“极验验证码”的产品评测，觉得挺详细。 转载过来给大家看看~（原文有删减）http://www.freebuf.com/articles/others-articles/116331.html

产品分析

窗口设计

极验验证主要有浮动式、嵌入式、弹出式和客户端四大验证设计，可以满足绝大部分应用环境。http://www.geetest.com/exp_normal   可以体验下他们的Demo.

部署架构

极验验证在GitHub上开启了多个Demon项目，用户可以快速搭建本地使用。目前Demo支持语言如下。

PHP—极验官方项目

Java—极验官方项目

Csharp—极验官方项目

Python—极验官方项目

Node—极验官方项目

Asp—第三方开发者

Ruby—第三方开发者

VB—第三方开发者

极验除了基础的首次验证以外，还提供了安全保障的二次验证。就算极验的服务器受到宕机，也有相对应方案的宕机二次验证接口。

除了基础的WEB页面开发文档外，极验官方还提供了iOS和Android应用

的开发文档。

极验官方也推出了相关的建站插件，这样用户可以很方便的在自己的网站上使用极验的验证码。目前支持的建站插件如下：

Discuz

Word

Pressphpwind

蝉知企业门户系统

后台功能

与传统的验证码相比，极验有着诸多不同，其中之一就是流量查看。在后台，用户可以随时查看验证的数据统计图。也可以设置阈值，来提高验证码的安全系数。另外，企业用户可以在后台自定义验证码的图片。

传统的后端验证码有个十分严重的安全缺陷，就是存在人工打码的情况。人工在前期耍取大量的验证码并且存储下来，以便在后期继续使用。而极验主要采取失效控制和referer绑定控制来针对人工打码的情况。验证模块在生成一次验证事件后，如果在一定的时间内没有被交互验证，那么会自动失效。人工打码肯定要自建页面，那么它的页面和id在极验后台绑定的referer不一致，极验也判定为验证不通过。

极验除了基本的前端验证外，还采取了安全保障的后端验证。整个验证过程主要分为两次。根据极验官方说明，极验的服务器每天都会接受到1.5亿次左右的验证，并且还有宕机二次验证接口和后备服务器。

正常极验验证流程图

宕机验证流程图

有防就会有攻，任何软件都会有漏洞。我们不能阻止软件出现漏洞，但是我们可以尽快的对漏洞进行修补。极验的安全相应速度也十分的快。在V2EX社区上，有人发表了一篇针对极验验证的破解思路，并且已经成功。但是在几个小时后，极验官方团队就立刻更新了JS库，同时修补了相关漏洞。