コンピューターセキュリティブログからのクロスポスト
先に、 キエフスターとビーラインのウェブサイトでキャプチャの脆弱性について書いた。 ここで、ハッキングとキャプチャ保護の分野での私たちの研究に注目したいと思います。
#キャプチャ理論
1950年、アランチューリングはコンピューティングマシンとマインドに関する記事を執筆しました。この記事は哲学ジャーナルマインドに掲載されました。 この記事は、人とコンピューターを区別できる特定のテストに関するものでした。 テストの詳細については説明しません。 ウィキペディアで自分で読むことができます
そのため、captchaはチューリングテストの実装の1つであり、システムユーザーを決定するために使用されます。彼は人間またはコンピューターです。 言い換えると、captchaは、ゲストブックやコメントなどにメッセージを残すスパムボットからサイトを保護します。
キャプチャの実装は数千あります。 基本的に、キャプチャは、人が定義する必要のあるテキストを含む一種の画像です。 最新のキャプチャの例を次に示します。
#脆弱性キャプチャ
すぐに質問に答えます:なぜ彼らはキャプチャの脆弱性を見つけようとしているのですか? 最も基本的な目標はスパムです。 そして、スパムがある場所-広告。 そして広告はお金です。 たとえば、スパマーは、フォーラム(投稿やプライベートメッセージを残す)、ゲストブック、メールゲート、その他のサービスでクライアントを大量に宣伝するソフトウェアを作成します。 彼らは人間の行動を模倣するソフトウェアボットを作成します。 大量のメッセージを防ぐために、ソフトウェア開発者はcaptchaを使用します。 オープンソースのソリューションでも、「独自の」ソリューションでも、個別のソリューションでもかまいません。 これらのソリューションのいずれかを使用すると、プログラマは間違いを犯す可能性があります。 それはプログラマーの経験に依存しますが、常にではありません。 キャプチャが正しく実行されることもありますが、サーバーソフトウェアの構成またはその他の要因にエラーがあります。
次に、キャプチャを回避するために使用できるいくつかのメソッドを見てみましょう。
1.プログラマーのエラー
キャプチャを実装する際の最も一般的な間違いは、その技術的な実装です。 プログラマは、結果を処理する際に微妙な点を見逃す場合があります。 たとえば、キャプチャテキストはセッションで送信できます。または、画像ファイルの名前はそのテキストです。 たとえば、 http ://markitup.com/Captcha.ashx ? txt = G-SG(このサイトのPageRankは5)
2.光学式文字認識
光学式文字認識 ( OCR )-文字や文字の画像をコンピューターで編集可能なテキストに電子的に変換します。
最も単純なOCRは参照です。 これは、イメージ内の数字(文字)の最も一般的な参照比較で構成されます。
この種の脆弱性は非常にまれです。 しかし、それはまた、大きなサイトに出くわします。 この例は、Beeline Webサイトのcaptchaの脆弱性です。
3.悪い考え
メソッドの本質:captchaの非常に優れた実装が使用されます(ノイズなどを使用)が、たとえば、3文字のデジタルまたは文字キャプチャです。 この場合、真の総当たりで答えを見つけることができます。 この方法は、ニューラルネットワークを使用する場合に非常に効果的です。画像を推測しようとするボットネットワーク、ダムゾンビマシンでもあります。
4.人間の心
この方法は、人々がキャプチャの定義に対して支払われるという事実にあります。 たとえば、1つのキャプチャを決定するために最大0.1ドルを支払う国内サービスが多数あります。 抵抗するのは難しいので、これは本当の脅威です。業界全体がこの方法に基づいています。
#Captchaの保護
captchaを実装するための非常に多くの異なるオプションがあります。 これらの方法については説明しませんが、既製のソリューションといくつかのヒントに焦点を当てます。
キャプチャを開発する場合、最初に注目すべきことは美しさではなく、自動化されたボットの複雑さです。 この例は、 GoogleとBigmir-Internetがプロジェクトで使用しているキャプチャです。
安全なキャプチャは慎重に検討する必要があります。 さまざまな種類のテキストの歪み(数字とテキストを含む写真の場合)、サーバー側での高品質処理を使用することが不可欠です。
また、ウェブサイト、ブログ、サービスでキャプチャを整理するために、既製の安全なソリューションを使用できるようにしたいと考えています。 その1つがreCaptchaです。 これは、クライアントサーバーテクノロジーに基づく新しいキャプチャテクノロジーではありません。
例:
CAPTCHAはバイパスするのが非常に難しく、ユーザーにとって簡単です。 ユーザーは2つの単語(または数字のセット)を入力するように求められます。 特別なAPIによって入力された値はreCaptchaサーバーに送信され、そこでチェックされ、応答が処理されたスクリプトに送信されます。正しい入力または間違った入力です。
ReCaptchaは、ブログやサイトの人気のあるエンジンに簡単に統合できます。 また、さまざまなプログラミング言語用のライブラリもあります。
#結論
今日、多くの種類のキャプチャがあります。 あらゆる形式でチューリングテストを実装すると、その信頼性を確認することはできません。 したがって、既成のソリューションを使用するか、実装を分析してセキュリティ評価を行うことができるセキュリティ専門家のサービスを使用する必要があります。
作成者: Chernysh VadimおよびRybalko Dmitry 、 Glaive Security Group