В reCAPTCHA обнаружена брешь, позволяющая обойти алгоритм защиты
Новости
С помощью найденной исследователями бреши пользователи могли обходить reCAPTCHA. Специалисты Google исправили обнаруженную уязвимость, система защиты функционирует в штатном режиме.
2К открытий2К показов
Эксперт в области безопасности облачных технологий Андрес Рианчо (Andres Riancho) нашёл способ обхода защитной системы reCAPTCHA. Для обмана алгоритма необходимо направить запрос к /recaptcha/api/siteverify.
Как reCAPTCHA работает?
Для реализации протоколов безопасности Google предлагает на выбор пользователя ряд картинок, используя для этого JavaScript. После завершения проверки пользователь подтверждает свой выбор, вызывая тем самым отправку HTTP-запроса к веб-приложению, которое оценивает выбор пользователя и обращается к системе защиты. Если пользователь правильно решил задание, то API подтверждает корректность и открывает доступ к ресурсу.
Исследователь обнаружил, что при применении метода HTTP parameter pollution веб-приложение может быть использовано для обмана системы защиты. Он выявил ошибку, при которой HTTP-запрос reCAPTCHA мог отправляться дважды и получать одинаковый ответ. В таком случае reCAPTCHА API использует первый секретный параметр.
На момент написания новости разработчики Google исправили уязвимость без применения патчей. Специалисты проработали REST API. Теперь при наличии двух параметров HTTP с одинаковыми атрибутами сервис выдаёт ошибку.
Постепенно разработчики вносят улучшения в работу системы защиты от ботов. В марте 2018 года Google объявила о прекращении поддержки первой версии reCAPTCHА.
2К открытий2К показов