come eseguire la scansione di un'applicazione Web che utilizza Captcha

3

Ho un'applicazione web su cui sto facendo una valutazione di sicurezza e usa captcha sia per il login che per certe operazioni all'interno dell'app. La cosa interessante è che questa particolare app mostra il testo del captcha proprio sotto di esso (gli utenti si lamentano, quindi ...), quindi sarebbe fattibile montare qualcosa per leggere il testo captcha e usarlo, abilitando la scansione automatizzato. Qualcuno può indicare una risorsa che potrebbe aiutarmi a scrivere questo? Utilizzo IBM appscan e Burp Suite.

Senza quel testo, però, sono limitato al test manuale. Sarebbe corretto dire che questi captcha rendono l'app immediatamente più sicura perché è resistente alle scansioni automatiche?

    
posta mcgyver5 09.07.2014 - 16:46
fonte

2 risposte

4

Nella tua domanda, dici che l'app mostra il testo del captcha proprio sotto di esso. Se si intende che la risposta corretta alla sfida captcha viene visualizzata all'utente come testo in aggiunta alla sua visualizzazione in un'immagine, allora dovrebbe essere semplice scrivere una scansione automatica. Lo script sarà in grado di completare il processo di accesso leggendo il testo della risposta captcha dalla pagina web e quindi fornendo tale risposta nel campo corretto.

Non ho usato gli strumenti che stai utilizzando, quindi non ho familiarità con le funzionalità di scripting che potrebbero fornire. Ma in Python, puoi usare urllib per implementare questa capacità. In Perl, puoi usare LWP .

A mio parere, l'utilizzo di un captcha può ridurre alcuni rischi in un'applicazione web, in particolare i rischi legati a un processo di registrazione di nuovi utenti che viene abusato da client automatici (non umani). Potrebbe essere d'aiuto come parte di un modulo di accesso per gli utenti esistenti, ma in misura minore. Un modulo di login ben progettato dovrebbe proteggersi dai tentativi di accesso di forza bruta, anche senza un captcha (ad esempio, limitando il numero di tentativi di accesso non riusciti possibili in un dato periodo di tempo per lo stesso account utente o l'indirizzo IP del client).

Ovviamente, la visualizzazione della risposta a una captcha challenge nel testo rimuove praticamente l'utilità di avere un captcha per iniziare. A quel punto, l'implementazione è un inconveniente per l'utente senza fornire alcun vantaggio per la sicurezza.

    
risposta data 09.07.2014 - 17:17
fonte
0

La migliore soluzione, come sottolineato da @schroeder, è quella di utilizzare una versione non-captcha del sito Web per eseguire le tue scansioni.

Per rispondere alla tua domanda, sì Captcha viene utilizzato per impedire ai bot automatizzati di accedere al tuo sito Web, quindi direi che lo rende un po 'più sicuro.

Questo potrebbe richiedere un po 'più di lavoro ma è possibile passare manualmente il captcha e poi indirizzare gli strumenti sul sito web una volta che hai finito?

    
risposta data 09.07.2014 - 17:05
fonte

Leggi altre domande sui tag