web-dev-qa-db-ja.com

Captchaを使用するWebアプリケーションをスキャンする方法

セキュリティ評価を行っているWebアプリケーションがあり、ログインとアプリ内の特定の操作の両方にキャプチャを使用しています。興味深いのは、この特定のアプリがキャプチャーのテキストをそのすぐ下に表示することです(ユーザーは不満を言うので...)。自動化。誰かがこれをスクリプト化するのに役立つリソースを指すことができますか? IBM appscanとBurp Suiteを使用しています。

ただし、そのテキストがなければ、私は手動テストに制限されます。これらのキャプチャにより、アプリは自動スキャンに耐性があるため、すぐに安全性が高まると言えますか?

3
mcgyver5

あなたの質問では、アプリのすぐ下にキャプチャのテキストが表示されるとおっしゃっています。 captchaチャレンジへの正しい答えが画像での表示に加えてテキストとしてユーザーに表示されることを意味する場合、自動スキャンのスクリプトを作成することは簡単なことです。スクリプトは、Webページからキャプチャの回答のテキストを読み取り、適切なフィールドにその回答を提供することで、ログインプロセスを完了することができます。

私はあなたが使っているツールを使ったことがないので、それらが提供するかもしれないスクリプト機能についてはよく知りません。しかし、Pythonでは rllib を使用してこの機能を実装できます。 Perlでは、 [〜#〜] lwp [〜#〜] を使用できます。

私の意見では、キャプチャを使用すると、Webアプリケーションの一部のリスク、特に自動化された(人間以外の)クライアントによって悪用される新規ユーザー登録プロセスに関連するリスクを減らすことができます。既存のユーザーのログインフォームの一部としては役立ちますが、程度は低くなります。適切に設計されたログインフォームは、キャプチャを使用せずにブルートフォースログインの試行から身を守る必要があります(たとえば、同じユーザーアカウントまたはクライアントIPアドレスの特定の期間に可能なログイン試行の失敗回数を制限することにより)。

そしてもちろん、キャプチャチャレンジへの回答をテキストで表示することで、キャプチャを最初から作成することの有用性がほとんどなくなります。その時点では、セキュリティ上のメリットはありませんが、実装はユーザーにとって不便です。

4
Mox

@schroederによって指摘された最善の解決策は、スキャンを実行するためにWebサイトの非キャプチャバージョンを使用することです。

あなたの質問に答えるために、はい、Captchaは自動ボットがあなたのウェブサイトにアクセスするのを防ぐために使われているので、それはある程度より安全になります。

これはもう少し手間がかかるかもしれませんが、キャプチャを過ぎて手動で作業し、完了したらツールをWebサイトに向けることはできますか?

0
PseudoNym01