Ataque de relevo contra Captcha

Navega tus respuestas
1

Estoy implementando un sitio web que incluye mi propio texto Captcha (no uso ningún servicio de Captcha, como reCaptcha). El código Captcha sirve a cada desafío (es decir, imagen) solo una vez para el proceso de visualización y verificación. ¿Alguien puede decirme las posibles situaciones que un atacante puede usar para transmitir una imagen Captcha a un solucionador humano (por ejemplo, mano de obra humana de bajo costo)? ¿Y cuáles son las formas de defensa contra ellos, si las hay?

Tenga en cuenta que la imagen se elimina del servidor inmediatamente después de que el usuario la recupere por primera vez, por lo que no hay forma de recuperarla (es decir, redirigir el enlace de la imagen) otra vez.

    
pregunta alg 05.02.2017 - 23:26
fuente

2 respuestas

2

Cuando está enviando la URL de la imagen captcha al cliente, el cliente descargará esa imagen. Así es como funciona la visualización de imágenes en sitios web.

El cliente ahora tiene la imagen en la memoria. Pueden hacer con esos datos lo que quieran, incluso enviarlos a una tienda de sudor de resolución de captcha. La tienda de sudor no recibe la URL original, solo los datos de imagen en bruto. Cuando lo resolvieron, devuelven la respuesta y su cliente puede reenviarla.

Desde la perspectiva de su aplicación, el cliente es una caja completamente negra. Lo sentimos, pero no hay forma de saber si resolvieron el captcha por sí mismos o lo subcontrataron a otra parte.

Pero si eres un objetivo de poco valor para los spammers y los robots, entonces hay una solución alternativa con la que obtuve resultados bastante buenos en el pasado: una simple pregunta de texto basada en el contexto. Una vez administré un foro sobre un videojuego. El foro fue realmente adorado por los robots de spam. Probamos diferentes captchas, pero ninguno funcionó. Luego agregué una pregunta simple al formulario de registro: "Escribe el nombre del juego del que trata este foro" . Entonces el spam se había ido. La pregunta, por supuesto, aceptó una gran variedad de posibles errores ortográficos y abreviaturas y taquigrafías concebibles para asegurarse de que ningún usuario humano legítimo estuviera bloqueado por ella.

Tenga en cuenta que algunos robots de spam (o sus solucionadores de captcha humanos) han evolucionado para poder responder preguntas muy triviales. Qué es 2 + 4 o Ingresa '' No soy un bot de spam '' aquí ya no funciona. Pero si solicita algún conocimiento de dominio que todos los usuarios legítimos deberían saber pero que no está claro para alguien (o algo) que se vea solo en el formulario de inicio de sesión, entonces es un elemento disuasivo útil.

Pero esto, por supuesto, solo se aplica a objetivos de bajo valor. Cuando sea un objetivo que sea lo suficientemente valioso como para pasar una hora o dos para descubrir cómo automatizar la creación de cuentas, descubrirán la respuesta a su pregunta y la codificarán.

    
respondido por el Philipp 08.03.2017 - 10:03
fuente
1
  

¿Alguien puede contarme las posibles situaciones que un atacante puede usar para transmitir una imagen Captcha a un solucionador humano (por ejemplo, mano de obra humana de bajo costo)? ¿Y cuáles son las formas de defensa contra ellos, si las hay?

El ataque de más baja tecnología es para que el trabajador barato reciba un VNC con Firefox y se le pida que resuelva el Captcha, con lo cual la cookie de acceso se puede volcar y reutilizar, por ejemplo, en un raspador.

Lo único que puedes hacer es prohibir una IP después de que se resuelva un número determinado de Captcha, incluso si el Captcha se resuelve correctamente.

Pero tenga en cuenta que no es muy difícil para un atacante obtener diferentes IP y simular completamente a muchos usuarios.

    
respondido por el DepressedDaniel 06.02.2017 - 00:54
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son algunas tácticas para superar el problema de externalidad de los desarrolladores que no reciben suficiente capacitación en seguridad? [cerrado] Soy un idiota. ¿Necesita ayuda con JavaScript "descifrado de códigos" y análisis [duplicado]