В reCAPTCHA обнаружена брешь, позволяющая обойти алгоритм защиты

Эксперт в области безопасности облачных технологий Андрес Рианчо (Andres Riancho) нашёл способ обхода защитной системы reCAPTCHA. Для обмана алгоритма необходимо направить запрос к /recaptcha/api/siteverify.

Как reCAPTCHA работает?

Для реализации протоколов безопасности Google предлагает на выбор пользователя ряд картинок, используя для этого JavaScript. После завершения проверки пользователь подтверждает свой выбор, вызывая тем самым отправку HTTP-запроса к веб-приложению, которое оценивает выбор пользователя и обращается к системе защиты. Если пользователь правильно решил задание, то API подтверждает корректность и открывает доступ к ресурсу.

Исследователь обнаружил, что при применении метода HTTP parameter pollution веб-приложение может быть использовано для обмана системы защиты. Он выявил ошибку, при которой HTTP-запрос reCAPTCHA мог отправляться дважды и получать одинаковый ответ. В таком случае reCAPTCHА API использует первый секретный параметр.

На момент написания новости разработчики Google исправили уязвимость без применения патчей. Специалисты проработали REST API. Теперь при наличии двух параметров HTTP с одинаковыми атрибутами сервис выдаёт ошибку.

Постепенно разработчики вносят улучшения в работу системы защиты от ботов. В марте 2018 года Google объявила о прекращении поддержки первой версии reCAPTCHА.

Источник: Хакер

Подобрали два теста для вас:
— А здесь можно применить блокчейн?
Серверы для котиков: выберите лучшее решение для проекта и проверьте себя.