安全加

beta

推荐

安全头条

安全知识

登录注册
首页>安全头条>

视频 | 谷歌reCAPTCHA认证机制被发现可绕过 大约60%集成程序含有该漏洞

reCAPTCHA recaptcha认证机制 谷歌recaptcha认证漏洞 recaptcha漏洞

谷歌多年来致力于改进和加强的reCAPTCHA出现可绕过漏洞,该漏洞的攻击需要Web应用程序中的HTTP请求参数被修改。换句话说,Web应用程序会以不安全的方式向reCAPTCHA API发送验证请求。这种设计机制,虽然减少了验证缺陷的严重程度,但也导致了100%的利用成功率。目前,谷歌已修改该漏洞并发布测试版。

谷歌已经修复了其reCAPTCHA认证机制的绕行 - 基于Turing测试的方法,用于证明网站用户不是机器人,通常在登录页面上发现。随后Google在测试版中发布reCAPTCHA的新版本。

谷歌多年来一直致力于改进和加强reCAPTCHA,去年将其扩展到Android系统的移动网站。实质上,Web开发人员可以使用Google的API非常轻松地放入reCAPTCHA代码。一旦嵌入,它会根据用户解决简单难题的能力来决定是否信任网站访问者,例如点击所呈现照片中的所有街道标志,完成音频验证,或者输入以扭曲形式呈现的单词或数字。

这家互联网巨头表示,每天都有超过3亿个reCAPTCHA被适用。

在幕后,握手同时在进行。一旦用户完成了挑战并单击验证,reCAPTCHA函数就会向Web应用程序发送HTTP请求。然后web应用程序将自己的请求发送给Google reCAPTCHA API,如果两个请求都正确验证,用户将正确通过reCAPTCHA。

reCAPTCHA是什么

reCAPTCHA项目是由卡内基梅隆大学所发展的系统,主要目的是利用CAPTCHA技术来帮助典籍数字化的进行,这个项目将由书本扫描下来无法准确的被光学文字辨识技术(OCR, Optical Character Recognition)识别的文字显示在CAPTCHA问题中,让人类在回答CAPTCHA问题时用人脑加以识别[1]。reCAPTCHA正数字化《纽约时报》(New York Times)的扫描存档[2],目前已经完成20年份的数据,并希望在2010年完成110年份的数据。2009年9月17日,Google宣布收购reCAPTCHA。[3]

为了验证人类所输入的文字是正确的,而不是随意输入,有两个字会被显示出来;一个是光学文字辨识软件无法辨别的字,另一个是一个已经知道正确答案的字。如果用户正确的回答出已知正确答案的字,那么就假设所输入的另一个光学辨识软件无法辨识的字是认真的查看后被输入而非随便输入。

--摘自维基百科

根据独立应用安全专家Andres Riancho的说法,绕过漏洞的攻击需要Web应用程序中的HTTP请求参数被修改,他报告了这种绕过漏洞(并且获得了谷歌bug奖励计划的500美元)。换句话说,Web应用程序会以不安全的方式向reCAPTCHA API发送验证请求。这减少了验证缺陷的严重程度,但也导致了100%的利用成功率。

“这种情况发生的攻击者能够每次都绕过”

Riancho在说后上张贴在周一的缺陷,并称Github上搜索发现reCAPTCHA的集成大约60%含有这种漏洞。

Riancho解释说。

“HTTP参数污染几乎无处不在:客户端和服务器端,相关的风险在很大程度上取决于上下文,在某些特定情况下,它可能导致巨大的数据泄露,但在大多数情况下,这是一个低风险的结果。”

在这种情况下,攻击者可以针对易受攻击的Web应用程序发送特制响应,该应用程序包含一个硬编码的秘密密钥,用于禁用reCAPTCHA响应验证。如果恶意行为者在来自API的正常响应之前将字符串插入到字符串中,他或她可以绕过reCAPTCHA。

“请注意,该请求包含两个秘密参数,第一个由攻击者控制(由于易受攻击的Web应用程序中的HTTP参数污染),第二个由应用程序本身控制...... reCAPTCHA API [始终]使用第一个,“

Google已经在reCAPTCHA REST API的上游解决了安全问题,幸运的是,不需要对受影响的Web应用程序进行任何修改。

这不是第一次为机制被设计利用。去年秋季,unCAPTCHA首次亮相,这是一种在马里兰大学设计的基于人工智能的自动化系统。它能够打破Google基于音频的reCAPTCHA验证(作为残疾人选项提供),精度达到85%。事实上,它可以在5.42秒内解决450次reCAPTCHA验证,精确度级别:比起首次完成reCAPTCHA验证所需的时间要少。

unCaptcha将免费的公共在线语音到文本引擎与语音映射技术相结合。系统下载音频挑战,将其分解为若干数字音频片段,然后通过多个文本到语音系统运行它们以确定准确和近似同音词,通过置信水平对聚合结果进行加权,然后将最可能的答案发回去谷歌。

文章附件

文章无附件

*文章为作者独立观点,不代表安全加立场

本文由:安全加发布,版权归属于原作者。 如果转载,请注明出处及本文链接:

如果此文章侵权,请留言,我们进行删除。

作者

您可能对以下关键词感兴趣哟,请用鼠标滑过或点击关键词 :

相关文章

无相关文章
无相关文章

参与讨论

0/300 发表评论
当前无评论

快速注册

请填写正确的邮箱格式,不能为空
请填写验证码
密码应为数字、字母、英文标点符号,长度为6-14位
两次密码不统一
立即注册

已有账号?

登录忘记密码

快速登录

手机号或邮箱不存在
密码错误请重新输入
立即登录

还没有账号?

注册忘记密码
© 2018 安全加 社区. All Rights Reserved.