Captcha jacking è un attacco per aggirare un captcha di costringere un umano a risolvere la risposta alla sfida. Il prof di codice concettuale che utilizza un proxy può essere trovato qui .
C'è un buon metodo per prevenire questo tipo di attacco? Come può un'applicazione impedire gli attacchi bruteforce o la creazione automatica di account alla luce degli attacchi di captcha jacking?
Un CAPTCHA ha lo scopo di accertare che, ad un certo punto in una procedura computerizzata, è stato coinvolto un essere umano. Nel caso di "CAPTCHA-jacking", beh ... è del tutto vero! Il CAPTCHA funziona. Ciò che dimostra è che le caratteristiche di sicurezza fornite dal CAPTCHA non sono esattamente il favoloso "One Filter to kick them".
Quindi direi che il "buon modo" per prevenire gli attacchi con jack CAPTCHA è di accettare che un CAPTCHA sia solo un filtro euristico parziale che troverà il suo posto tra altri filtri euristici, come il numero di richieste per una determinata risorsa, indicizzate per indirizzo IP, ora, ...
Tuttavia, possiamo includere alcune contromisure per alcuni scenari specifici. Ad esempio, supponiamo che l'attaccante reindirizzi le sfide CAPTCHA (dal sito siteA.com ) a un altro sito ( siteB.com ), in modo che gli umani che li risolvano credano credono che gli viene richiesto il CAPTCHA in ordine per inserire siteB.com . Il manutentore di siteA.com può includere la stringa "questo è per siteA.com" come parte dell'immagine, ad es. come un testo grigio sullo sfondo (con un posizionamento casuale). L'idea è che se gli umani che risolvono i CAPTCHA sono complici involontari, renderli consapevoli del possibile gioco scorretto può scatenare reazioni più rapide e ritorsioni contro l'attaccante.
Il concetto è quello di coltivare il difficile problema del computer, ma facile per gli umani per gli altri umani in cambio di qualcosa che vogliono. Tuttavia, l'azione verso il bersaglio attaccato è ancora una singola fonte. Faresti meglio ad applicare filtri ed euristiche oltre al CAPTCHA. Troppe richieste dallo stesso IP, aumento del tasso di alcune attività, ecc. Inoltre, un bot è programmato usualmente per un determinato layout HTML, variabili, ecc. Se cambi il tuo codice potresti essere in grado di sconfiggere i bot che non sono sotto aggiornamento attivo dal loro autore. Non sono sicuro che tu possa fare qualcosa sul CAPTCHA stesso che viene coltivato fuori.
Puoi bloccare il server malware solo se utilizzi un canale sicuro come HTTPS. Tuttavia, le implementazioni dei browser e le società di convalida SSL si concentrano principalmente sulla dimostrazione che l'endpoint del server è affidabile, non che l'endpoint del client sia affidabile (o umano). Senza l'autenticazione del client, non vi è alcuna differenza effettiva tra il reindirizzamento del computer di prove di lavoro umane e uno spammer umano indifferente che utilizza un computer per pubblicare il messaggio autosufficiente.
Avresti bisogno dell'equivalente del servizio di certificazione del cliente VeriSign / GeoTrust, ma libero, pseudonimo e solo premuroso di essere un essere umano. In questa fase, non ho sentito nessun servizio del genere. Una catena di certificazione del web-of-trust potrebbe essere un altro approccio; ma nessuna rete robusta, popolosa o francamente affidabile è stata ancora creata.
Un impegno per micro pagamenti potrebbe anche funzionare ma alzare il deterrente abbastanza da neutralizzare la proposta di valore dello spam, bloccare o scoraggiare molti utenti indipendentemente dalla funzione di deposito in garanzia - per quanti di noi credono che amministratori di server e moderatori del sito siano sufficienti per pagare le multe per spam?
La migliore risposta a questo punto è che non ti preoccupare del dirottamento CAPTCHA o del normale funzionamento dell'interfaccia post AJAX / HTML in un modo che richiede l'intervento umano dello spammer per ricodificare.
Sostanzialmente il tuo adeguamento umano dell'API del sito e l'incentivo dello spammer a modificare le API per il tuo sito. Potresti voler ridurre questi incentivi tramite il filtro antispam, ecc.
Leggi altre domande sui tag captcha