Jacking de Captcha es un ataque para evitar un captcha por obligando a un humano a resolver la respuesta de desafío. El código del profesor de concepto que utiliza un proxy puede encontrarse aquí .
¿Existe un buen método para prevenir este tipo de ataque? ¿Cómo puede una aplicación prevenir los ataques de fuerza bruta o la creación automática de cuentas en vista de los ataques de secuestro de captura?
Un CAPTCHA tiene la intención de determinar que, en algún momento de un procedimiento computarizado, un ser humano estuvo involucrado. En el caso de "CAPTCHA-jacking", bueno ... ¡eso es totalmente cierto! El CAPTCHA funciona. Lo que esto muestra es que la característica de seguridad proporcionada por el CAPTCHA no es exactamente el legendario "Un filtro para eliminarlos a todos".
Por lo tanto, diría que la "buena manera" de prevenir los ataques de secuestro de CAPTCHA es aceptar que un CAPTCHA es solo un filtro heurístico parcial que encontrará su lugar entre otros filtros heurísticos, como el número de solicitudes para un recurso determinado, indexado por dirección IP, tiempo, ...
Aún así, podemos incluir algunas contramedidas para algunos escenarios específicos. Por ejemplo, supongamos que el atacante redirige los desafíos CAPTCHA (del sitio siteA.com ) a otro sitio ( siteB.com ), de modo que los humanos que los resuelven realmente creen que se les solicita el CAPTCHA en para ingresar siteB.com . El mantenedor de siteA.com puede incluir la cadena "esto es para siteA.com" como parte de la imagen, por ejemplo. como algún texto gris en el fondo (con alguna colocación aleatoria). La idea es que si los humanos que resuelven el CAPTCHA son cómplices involuntarios, hacerlos conscientes del posible juego sucio puede provocar una reacción más rápida y represalias contra el atacante.
El concepto es distribuir el problema difícil para la computadora, pero fácil para los humanos a cambio de algo que ellos desean. Sin embargo, la acción para atacar al objetivo sigue siendo una única fuente. Haría lo mejor para aplicar filtros y heurísticas más allá del CAPTCHA también. Demasiadas solicitudes de la misma IP, mayor tasa de actividad, etc. Además, un bot está usualmente programado para un cierto diseño HTML, variables, etc. Actualización activa por su autor. No estoy seguro de que pueda hacer algo para que el propio CAPTCHA se desarrolle.
Solo puede bloquear el servidor de malware fuera del bucle si utiliza un canal seguro como HTTPS. Sin embargo, las implementaciones de los navegadores y las compañías de validación de SSL se centran principalmente en demostrar que el punto final del servidor es confiable, no si el punto final del cliente es confiable (o un ser humano). Sin la autenticación del cliente, no hay una diferencia efectiva entre la prueba del trabajo humana y el indiferente spammer humano que usa una computadora para publicar el mismo mensaje.
Necesitaría el equivalente del servicio de certificación de clientes de VeriSign / GeoTrust, pero gratuito, seudónimo y solo preocupado de que usted sea un ser humano. En esta etapa, no he escuchado en ningún servicio como ese. Una cadena de certificación de web de confianza podría ser otro enfoque; pero aún no se ha establecido una web robusta, populosa o francamente confiable.
Un depósito en micropago también podría funcionar, pero elevar el factor disuasivo lo suficientemente alto como para contrarrestar la propuesta de valor del correo no deseado, bloquearía o desalentaría a muchos usuarios, independientemente de la función de depósito en garantía, en la que muchos de nosotros confiamos en los administradores del servidor y los moderadores del sitio para ¿Las multas de spam en custodia?
La mejor respuesta en este punto es que no te preocupes por el secuestro de CAPTCHA o que habitualmente juegues con la interfaz de publicaciones AJAX / HTML de una manera que requiera la intervención humana del spammer para volver a codificar.
Esencialmente, su ajuste humano de la API del sitio frente al incentivo del spammer para ajustar su API para su sitio. Es posible que desee reducir estos incentivos mediante el filtrado de spam, etc.
Lea otras preguntas en las etiquetas captcha