1. CAPTCHAs 简介
1.1 CAPTCHAs 分类
1.2 CAPTCHAs & CAPTCHAs Farms
-
首先,被访问的网站会返回一个token给用户 -
随后用户向CAPTCHAs service提交puzzle答案和token -
CAPTCHAs service返回一个测试成功的token,来声明用户不是机器人。
-
首先,attacker向服务器发起请求,服务器返回一个token -
攻击者本应将token传给CAPTCHA 厂商并交互,但是此时攻击者将token传给CAPTCHAs Farm -
CAPTCHAs Farm 用token伪造和CAPTCHA 厂商沟通,答题,获得测试通过的token -
CAPTCHAs Farm将测试通过的token传给attacker,攻击完成 在这个过程中,CAPTCHAs Farm会使用代理,伪造攻击者的IP地址,伪造User-Agent header,cookie等方法,绕开厂商监管。之前有部分工作提出过新的CAPTCHAs 算法来避免类似攻击[3],但是目前看来CAPTCHAs Farm依旧猖獗。
2. CAPTCHAs 攻击分析
2.1 CAPTCHA attack 分类
-
欺诈 (Fraud): 包括流媒体欺诈、活动门票机器人、身份欺诈等,攻击者试图通过非法手段获利。例如,Taylor Swift 门票发售的时候,产生了很多相应的攻击。 -
滥用 (Abuse): 包括亚马逊 Flex 机器人、预约机器人、加密货币滥用等,攻击者试图利用平台漏洞为自己牟利。攻击者可能攻击政府网站,抢注护照预约名额等 -
垃圾邮件/诈骗 (Spam/Scam): 机器人创建大量虚假账号,发送垃圾邮件或实施诈骗。这其中Twitter收到的此类攻击最多,其次是LinkedIn,Discord等等 -
灰色/良性 (Gray/Benign): 虽然绕过验证码进行数据抓取并不一定出于恶意,但可能会干扰网站正常运行。例如,从政府网站、电子商务平台、个人信息搜索网站等抓取数据。
2.2 其他分析结果
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2024-05-31 在野CAPTCHA攻击研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论