12: Authentication: CAPTCHA

• CAPTCHA: Completely Automated Public Touring test to tell Computers and Human Apart
• CAPTCHA neden kullanılır:
• Listeleme saldırılarına karşı (giriş, kayıt, şifre reset arayüzleri)
• Otomatik GET/POST istek sellerine karşı (SMS, e-mail, mesaj gönderme arayüzleri)
• Otomatik hesap açmaya karşı
• Otomatik yorum ve blog mesajı yazmaya karşı.
• CAPTCHA’nın işe yaraması, kırılamaz olmasına bağlı.Zayıf CAPTCHA uygulamaları:
• Zayıf resim: Resmin temel OCR araçlarıyla rahatlıkla çözülmesi.
• Yetersiz çeşitlilik: üretilen resimlerin çok farklılık içermemesi, kendini tekrar etmesi.
• Güvensiz algoritmalar: zayıf olarak kodlanan/şifrelenen resim karakterlerinin istemci tarafında kırılması
• Tekrarlama saldırıları: üretilen resmin değerinin tekrar tekrar kullanılabilmesi.
• Zayıf CAPTCHA saldırı yöntemleri:
• Benzerleri ile karşılaştırmak. Bu amaçla kurulmuş siteler de var.
• Kullanılan algoritmaya saldırmak. Benzer URL’ler internetten aranabilir.
• İşlemi olduğu gibi tekrarlamak. Demo: CAPTCHA’lı bir kullanıcı oluşturma sayfasında kullanıcı oluşturalım, bu sırada gönderilen POST içeriğini Firefox’un live http header plugin’i ile izleyelim. Sonra bu POST’ta sadece kullanıcı adını değiştirerek (CAPTCHA için girilen kelime ve fotoğrafın ID’si var POST’ta ve aynen kalıyor) talebi tekrar gönderelim, yeni bir kullanıcı daha açmış olalım…