Jump to content

Уязвимость в reCAPTCHA позволяла обойти проверку


Recommended Posts

Google исправила уязвимость, позволявшую обходить reCAPTCHA – основанный на тесте Тьюринга способ проверки, кем является пользователь сайта, человеком или ботом. Уязвимость исправлена в новой бета-версии сервиса.

Google совершенствует reCAPTCHA в течение многих лет. В частности, в прошлом году компания запустила сервис reCAPTCHA для мобильных версий сайтов, позволяющий проверять пользователей Android-устройств. Сервис работает следующим образом. Зайдя на сайт, где есть reCAPTCHA, пользователь должен доказать, что мыслит как человек, решив несложную задачку (например, кликнуть на все фото с дорожными знаками).

После проверки правильности ответов сервис отправляет HTTP-запрос web-приложению. В свою очередь приложение также отправляет запрос Google reCAPTCHA API. Таким образом и reCAPTCHA, и приложение идентифицируют друг друга как доверенный ресурс и сигнализируют о том, что задачка решена правильно.

Как сообщил независимый исследователь безопасности Андрес Рианчо, для обхода reCAPTCHA с помощью уязвимости атакующий должен осуществить атаку HTTP parameter pollution. Другими словами, атакующий должен заставить web-приложение отправить Google reCAPTCHA API HTTP-запросы небезопасным способом.

HTTP parameter pollution – вид атаки на web-приложение, позволяющий обойти WAF (Web Application Firewall). HTTP parameter pollution вставляет дополнительные ограничители запросов или дополнительные параметры с тем же именем в HTTP запрос для обхода некоторых ограничений безопасности за счет особенностей поведения различного вида платформ.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...