Attacco a relè contro Captcha

1

Sto implementando un sito web che includeva il mio testo Captcha (non uso alcun servizio Captcha - come reCaptcha). il codice Captcha serve ogni sfida (cioè l'immagine) solo una volta per entrambi i processi di visualizzazione e verifica. Qualcuno può dirmi quali sono gli scenari possibili che un utente malintenzionato può utilizzare per ritrasmettere un'immagine Captcha a un risolutore umano (ad esempio, il lavoro umano a basso costo); e quali sono le vie di difesa contro di loro, se ce ne sono?

Tieni presente che l'immagine viene rimossa dal server immediatamente dopo il primo recupero dall'utente, quindi non c'è modo di recuperarla (cioè reindirizzare il link dell'immagine) di nuovo da chiunque.

    
posta alg 05.02.2017 - 23:26
fonte

2 risposte

2

Quando invii l'URL dell'immagine captcha al client, il client scaricherà quell'immagine. Ecco come funziona la visualizzazione delle immagini sui siti web.

Il client ora ha l'immagine in memoria. Possono fare con quei dati qualunque cosa vogliano, incluso inviarli ad un negozio di sudore captcha. La sweat shop non riceve l'URL originale, solo i dati grezzi dell'immagine. Quando lo hanno risolto, inviano indietro la risposta e il tuo cliente può inoltrare la risposta a te.

Dal punto di vista della tua applicazione, il client è una scatola completamente nera. Ci dispiace, ma non c'è modo di sapere se hanno risolto il captcha o l'hanno esternalizzato a una festa diversa.

Ma se sei un bersaglio di basso valore per spammer e bot, allora c'è una soluzione alternativa con la quale ho ottenuto risultati abbastanza buoni in passato: una semplice domanda di testo basata sul contesto. Una volta ho amministrato un forum su un videogioco. Il forum è stato davvero adorato dai bot spam. Abbiamo provato diversi captcha, ma nessuno ha funzionato. Poi ho aggiunto una semplice domanda al modulo di registrazione: "Inserisci il nome del gioco di cui parla questo forum" . Quindi lo spam era sparito. Naturalmente la domanda accettava una grande varietà di possibili errori ortografici e abbreviazioni e abbreviazioni concepibili per assicurarsi che nessun utente umano legittimo ne fosse bloccato.

Si noti che alcuni robot di spam (oi loro risolutori di captcha umani) si sono evoluti per poter rispondere a domande molto banali. Cosa sono 2 + 4 o Invio "Non sono un bot spam" qui non funzionano più. Ma se chiedi qualche conoscenza di dominio che ogni utente legittimo dovrebbe conoscere, ma che non è chiaro per qualcuno (o qualcosa) che sembra solo nel modulo di login, allora è un utile deterrente.

Questo ovviamente si applica solo ai target di basso valore. Quando sei un target abbastanza prezioso da dedicare un'ora o due a capire come automatizzare la creazione dell'account, individueranno la risposta alla tua domanda e la indicheranno.

    
risposta data 08.03.2017 - 10:03
fonte
1

Can anybody please tell me about the possible scenarios that may be used by an attacker to relay a Captcha image to a human solver (e.g. low-cost human labor); and what’s the defense ways against them, if any?

L'attacco a tecnologia più bassa è per il lavoratore a basso costo per avere un VNC con Firefox, e ha chiesto di risolvere il Captcha, dopo di che il cookie di accesso può essere scaricato e riutilizzato, ad es., un raschietto.

L'unica cosa che puoi fare è bannare un IP dopo un determinato numero di risolvi Captcha, anche se il Captcha è stato risolto correttamente.

Tuttavia, tieni presente che non è molto difficile per un utente malintenzionato ottenere diversi IP e simulare completamente molti utenti.

    
risposta data 06.02.2017 - 00:54
fonte

Leggi altre domande sui tag