Написать пост

В reCAPTCHA обнаружена брешь, позволяющая обойти алгоритм защиты

Аватар Даниил Шатухин

С помощью найденной исследователями бреши пользователи могли обходить reCAPTCHA. Специалисты Google исправили обнаруженную уязвимость, система защиты функционирует в штатном режиме.

Эксперт в области безопасности облачных технологий Андрес Рианчо (Andres Riancho) нашёл способ обхода защитной системы reCAPTCHA. Для обмана алгоритма необходимо направить запрос к /recaptcha/api/siteverify.

Как reCAPTCHA работает?

Для реализации протоколов безопасности Google предлагает на выбор пользователя ряд картинок, используя для этого JavaScript. После завершения проверки пользователь подтверждает свой выбор, вызывая тем самым отправку HTTP-запроса к веб-приложению, которое оценивает выбор пользователя и обращается к системе защиты. Если пользователь правильно решил задание, то API подтверждает корректность и открывает доступ к ресурсу.

Исследователь обнаружил, что при применении метода HTTP parameter pollution веб-приложение может быть использовано для обмана системы защиты. Он выявил ошибку, при которой HTTP-запрос reCAPTCHA мог отправляться дважды и получать одинаковый ответ. В таком случае reCAPTCHА API использует первый секретный параметр.

На момент написания новости разработчики Google исправили уязвимость без применения патчей. Специалисты проработали REST API. Теперь при наличии двух параметров HTTP с одинаковыми атрибутами сервис выдаёт ошибку.

Постепенно разработчики вносят улучшения в работу системы защиты от ботов. В марте 2018 года Google объявила о прекращении поддержки первой версии reCAPTCHА.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий2К показов