Місяць багів в Капчах

23:38 17.10.2007

Настав час для анонсу мого нового проекту - Місяця багів в Капчах (Month of Bugs in Captchas). Даний проект відбудеться в наступному місяці. Тому листопад - це місяць багів в Капчах ;-) .

В Інтернеті існує чимало різних Captcha систем і багато з них є вразливими. Капчі створюють лише ілюзію захищеності. Метою даного Місяця багів є демонстрація реального стану справ з безпекою Капч, що використовуються на багатьох веб сайтах.

В листопаді 2007 року відбудеться Апокаліпсис для Капч. Чимало Капч будуть захакані до смерті. Вони помруть для того, щоб переродитися в нові більш захищені Капчі. Час прийшов.

Адреса проекту: http://websecurity.com.ua/category/mobic/

Додаткова інформація про проект буде опублікована в кінці поточного місяця. Листопад буде дуже спекотним місяцем.


9 відповідей на “Місяць багів в Капчах”

  1. trovich каже:

    Твоя каптчя теж не бездоганна. Коли набираєш відповідь більше, ніж (навскидку, я не досліджував) пару хвилин, то вона (каптчя) наче експайриться і видає помилку.

  2. MustLive каже:

    trovich

    Мова йде про узазливості - в Місяці багів в Капчах я буду розповідати про секюріті уразливості в капчах. Питання зручності використання тієї чи іншої капчи (та капч загалом) я не буду порушувати. Особливості використання капч (графічних, текстових та використання додатково звукових разом з графічними) - це давня тема, на яку полюбляють полімізувати в Мережі. Питання ергономічності та юзабільності. В даному напрямку є що покращувати, але дані питання вирішується.

    В своєму новому проекті я буду вести мову про безпеку капч. І в даному аспекті моя капча свою справу знає (особлимо після мого покращення капчі). Так що в плані безпеки зараз вона надійна - можливості її обходу (через уразливості) відстутні. В плані OCR вона мало що протиставить, але це інший аспект (це апріорна уразливість капч, а я кажу про апостеріорні - про уразливості в алгоритмі). Тому дана капча свою роботу виконує.

    До речі, ця капча зручна і симпатична. Має невеликий розмір і гарну кольорову гаму та виводить чітки символи. Серед декількох капч для WP ця мені найбільше сподобалась. Так що капча хороша.

  3. MustLive каже:

    Стосовно твоєї проблеми з експайром - закінченням часу життя коду капчі, то це питання лише до тривалості сесії. Тому що капча тримає код в сесії (що я найбільш безпечним варіантом) і активність коду визначається тривалістю сесїї. З чим ти і стикнувся.

    При цьому, чим менше тривалість неактивної сесії і відповідно активності коду капчі тим безпечніше (щоб зменшити можливість атаки в цьому напрямку). Для користувача це менш зручно, коли коротка сесія, але так безпечніше (тому й час життя коду капчі від цього залежить). Як я казав, капча надійна, і даний аспект також направлений на безпеку. Ти ж підтримуй активність сесії, і не доводь до експайру, щоб було зручно з капчою працювати.

    До речі, trovich, зазначу, що дана капча також прийме участь в Місяці багів в Капчах :-) .

    Свою капчу (цей плагін) я ще влітку протестував і вона не вразлива до моєї основної методики взлому капч. Тому я був впевнений в ній. Але коли ти в суботу написав щодо проблем з введенням коду, я одразу ж подумав, що це пов’язано з сесією (так капча працює) і вирішив тобі про це написати, але в суботу не встиг, лише зараз взявся за набір коментів. І тоді ж я подумав, що треба додатково протестувати капчу (моїми просунутими методами взлому).

    В неділю взявся за перевірку і виявив що капча то вразлива :D (проти моїх методів хакінгу жодна капча не встоїть). В результаті я написав експлоіт для обходу даної капчі (що використовується в мене на сайті та на всіх сайтах з цим плагіном). Тому дана капча також прийме участь в Month of Bugs in Captchas (разом з іншими, в тому числі з іншими плагінами для WP). В себе я цю дірку одразу виправив. Так що зараз моя версія капчі надійно виконує свою роботу.

  4. trovich каже:

    Давай-давай, мене це питання дуже цікавить з огляду на використання капчі у власних проектах.

  5. MustLive каже:

    Листопад почнеться вже скоро ;) , так що очікуй на чималу кількість цікавої інформації.

    Стосовно тих капч, що ти використовуєш. Якщо ти використовуєш деякі движки і вбудовані капчі (або плагіни до цих движків), або ж використовуєш деякі зовнішні капча-сервіси, то можеш назвати мені їх. Якщо я ще їх не дослідив, то зроблю це і додам до свого проекту.

  6. trovich каже:

    Securimage 0.3
    Portable Security Image Script
    Author: Drew Phillips
    www.neoprogrammers.com
    Copyright 2005 Drew Phillips

    частіше за все цей

  7. MustLive каже:

    trovich

    На сайті вже версія 1.0 цієї капчі. Так що ти дай мені лінк на сайт (один з твоїх або відомий тобі), де використовується версія 0.3, щоб я перевірив і її також.

    Securimage - весела капча :) і особливо веселим є її розробник та власник наведеного сайта. В минулий понеділок я заходив на сайт, щоб подивитися на капчу, і тоді вона нормально працювала. Її дослідження я відклав як знайду час. І от сьогодні зайшов - а капча (в контактах) не працює :D . Мабудь злякалася моєї перевірки.

    Як зайти на сам скрипт капчі, то можна виявити, що із-за відсутності прав на запис тимчасових зображень, капча видає ряд помилок. І заодно видає Full path disclosure уразливість. Так що у цієї капчі є явні секюріті проблеми.

    Скачувати цю капчу немає бажання. Спробую знайти інші сайти з нею і протестувати. Лише в крайньому випадку скачаю її. Ти ж лінку на сайт з версією 0.3 капчи наведи.

  8. MustLive каже:

    Опублікував детальний опис проекту Місяць багів в Капчах.

  9. MustLive каже:

    Сергій, як я перевірив дану капчу (ще 30 числа, коли написав свій попередній коментар стосовно неї), дана капча не вразлива до моїх методів обходу. Це стосується версії 1.0, котру я перевірив на декількох сайтах (схоже, що це була саме версія 1.0, або одна з останніх, бо капчі були схожі на ту, що встановлена на сайті автора, котру я встиг подивитися до того, як вона перестала працювати).

    Тому дана капча відносно надійна (версія 1.0). Але якщо ти приведеш лінку на сайт з капчою версії 0.3, то я гляну на неї також.

    Зазначу, що як я вже писав, дана капча має Full path disclosure уразливість (котру я виявив на сайті автора, а також на декількох інших сайтах). Тому дану капчу я не буду рекомендувати для використання. Як мінімум доки розробник, або адмін сайта власноруч, не виправить цю уразливість в ній - тільки тоді вона стане придатною для публічного використання.

Leave a Reply

You must be logged in to post a comment.