cómo escanear una aplicación web que usa Captcha

3

Tengo una aplicación web en la que estoy realizando una evaluación de seguridad y utiliza captcha tanto para el inicio de sesión como para ciertas operaciones dentro de la aplicación. Lo interesante es que esta aplicación en particular muestra el texto del captcha justo debajo (los usuarios se quejaron, así que ...), por lo que sería factible manipular algo para leer el texto del captcha y usarlo, lo que permite que el escaneo sea automatizado ¿Alguien puede apuntar a un recurso que me ayude a escribir esto? Yo uso IBM appscan y Burp Suite.

Sin embargo, sin ese texto, estoy limitado a las pruebas manuales. ¿Sería justo decir que este captcha hace que la aplicación sea más segura de inmediato porque es resistente a los escaneos automáticos?

    
pregunta mcgyver5 09.07.2014 - 16:46
fuente

2 respuestas

4

En tu pregunta, mencionas que la aplicación muestra el texto del captcha justo debajo de ella. Si quiere decir que la respuesta correcta al desafío de captcha se muestra al usuario como texto además de su visualización en una imagen, entonces debería ser una cuestión simple realizar un escaneo automático. Su secuencia de comandos podría completar el proceso de inicio de sesión leyendo el texto de la respuesta captcha en la página web y luego proporcionando esa respuesta en el campo correspondiente.

No he usado las herramientas que estás usando, por lo que no estoy familiarizado con las capacidades de scripting que pueden proporcionar. Pero en Python, puede usar urllib para implementar esta capacidad. En Perl, puede usar LWP .

En mi opinión, el uso de un captcha puede reducir algunos riesgos en una aplicación web, especialmente los riesgos relacionados con el proceso de inscripción de un nuevo usuario por parte de clientes automatizados (no humanos). Podría ayudar como parte de un formulario de inicio de sesión para usuarios existentes, pero en menor medida. Un formulario de inicio de sesión bien diseñado debería protegerse de los intentos de inicio de sesión de fuerza bruta, incluso sin un captcha (por ejemplo, limitando el número de intentos de inicio de sesión fallidos posibles en un período de tiempo determinado para la misma cuenta de usuario o la misma dirección IP del cliente).

Y, por supuesto, mostrar la respuesta a un desafío de captcha en el texto prácticamente elimina la utilidad de tener un captcha para empezar. En ese momento, la implementación está incomodando al usuario y no proporciona beneficios de seguridad.

    
respondido por el Mox 09.07.2014 - 17:17
fuente
0

La mejor solución según lo señalado por @schroeder es utilizar una versión del sitio web que no sea de captcha para ejecutar sus análisis.

Para responder a su pregunta, sí, Captcha se usa para evitar que los bots automáticos accedan a su sitio web, por lo que diría que lo hace más seguro.

Esto puede requerir un poco más de trabajo, pero ¿es posible trabajar de forma manual para pasar el captcha y luego apuntar sus herramientas al sitio web una vez que haya terminado?

    
respondido por el PseudoNym01 09.07.2014 - 17:05
fuente

Lea otras preguntas en las etiquetas