reCAPTCHA bypass via HTTP Parameter Pollution
tl;dr I reported a reCAPTCHA bypass to Google in late January. The bypass required the web application using reCAPTCHA to craft the request to /recaptcha/api/siteverify in an insecure way; but when this situation occurred the attacker was able to bypass the protection every time. The security issue was fixed “upstream” at Google’s reCAPTCHA API and no modifications are required to your web applica
グーグル、「reCAPTCHA」の脆弱性を修正
Googleは、攻撃者が「reCAPTCHA」を回避するために利用できる脆弱性を修正した。 チューリングテストを基にしたreCAPTCHAは、パズルや論理クイズを利用する。訪問者は出された問題に正解することで、ボットではないことを証明する。クッキーに基づいて訪問者を信頼する場合もある。 Riancho氏は米国時間5月28日付のブログで、回避するためには、reCAPTCHAを利用するウェブアプリケーションが、安全でないやり方で「/recaptcha/api/siteverify」へのリクエストを作成する必要があると述べている。 reCAPTCHAを利用するウェブアプリケーションが訪問者に問題を出す際、GoogleはJavaScriptコードを通じて画像セットを提供する。訪問者が画像ベースのパズルを解くと、HTTPリクエストが送信される。 ウェブアプリケーションは、「secret」パラメータと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
