Breaking News

ผู้เชี่ยวชาญพบสามารถลัดผ่าน reCAPTCHA ด้วย HTTP Parameter Pollution

Andres Riancho ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้แจ้งพบช่องโหว่ที่ช่วยให้ผู้โจมตีลัดผ่านกระบวนการ Google reCAPTCHA ในเว็บแอปพลิเคชันที่มีการเรียกใช้งานอย่างไม่ปลอดภัย (/recaptcha/api/siteverify) โดยใช้วิธีการ Http Parameter Pollution ซึ่งนักวิจัยได้ค่าตอบแทนจาก Google ไปประมาณ $500 เหรียญสหรัฐ

nakedsecurity.sophos.com

ขั้นตอนการทำงานคือเมื่อเว็บแอปมีการใช้งาน reCAPTCHA ต่อผู้ใช้  “Google จะส่งเซตของรูปภาพมาและใช้ JavaScript แสดงผลที่บราวน์เซอร์” –จากรายงานของผู้เชี่ยวชาญ หลังจากที่ผู้ใช้งานกด Verify แล้วจะก่อให้เกิดการร้องขอไปยังเว็บแอปพลิเคชัน ในส่วนนี้เว็บแอปพลิเคชันจะพิสูจน์ตัวตนของตัวเองและส่งค่า Hash ของ reCAPTCHA ไปยัง API เพื่อรอฟังคำตอบถ้า (ภายในมีตัวแปรที่ระบุว่าผ่านหรือไม่ผ่าน ผู้สนใจติดตามเพิ่มเติมได้ที่ https://developers.google.com/recaptcha/docs/verify)

อย่างไรก็ตามทาง Riancho พบว่ามันเป็นไปได้ที่จะส่งการร้องขอ 2 ครั้งไปยังบริการของ Google และได้รับผลแบบเดียวกัน โดยตัวของ API มันจะใช้ Secret Parameter ตัวแรกและละเลยตัวที่สอง จุดนี้เองที่เป็นช่องโหว่ได้แต่การใช้งานได้ต้องเข้าเงื่อนไข 2 ข้อ ซึ่งทางผู้เชี่ยวชาญกล่าวว่า “ถ้าตัวเว็บแอปพลิเคชันเองมีช่องโหว่ต่อวิธีการ HTTP Parameter Pollution และ URL ที่สร้างขึ้นมีการต่อท้าย Respond Parameter ก่อน Secret จะทำให้ผู้โจมตีสามารถลัดผ่านการตรวจสอบ reCAPTCHA ได้

โดยตอนนี้ทาง Google ได้แก้ไขช่องโหว่ดังกล่าวแล้วด้วยการให้ REST API นั้นคืนค่า Error กลับไปเมื่อพบการร้องขอ HTTP ที่เข้ามายัง /recaptcha/api/siteverify ด้วย 2 พารามิเตอร์ 2 ที่มีชื่อเดียวกัน

ที่มา : https://www.securityweek.com/http-parameter-pollution-leads-recaptcha-bypass


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[รีวิว] ASUS ExpertPC D5 SFF: Commercial PC ขนาดเล็กประสิทธิภาพสูง สำหรับการทำงาน

หลังจากบทความก่อนหน้าที่ได้รีวิว ASUS ExpertBook กันไปแล้ว คราวนี้ก็ถึงคราวของบทความถัดมากับการรีวิว ASUS ExpertPC D5 SFF ซึ่งเป็น Commercial PC ในตระกูล ASUS Expert สำหรับการทำงานกันบ้างแล้วครับ ซึ่งโดยรวมแล้วก็จัดเป็นเครื่อง PC สำเร็จรูปที่น่าประทับใจดีทีเดียว ผู้ที่สนใจมาอ่านรีวิวฉบับเต็มกันในบทความนี้ได้เลยครับ

[Guest Post] โซลูชัน Private Cloud in A Box จากยิบอินซอย ผสานที่สุดของซอฟทแวร์จาก VMware และฮาร์ดแวร์จาก HPE

ใช้คลาวด์บน data center ของคุณเอง ขยายธุรกิจได้อย่างรวดเร็ว จ่ายตามการใช้งานจริงเป็นรายเดือนกับโซลูชัน Private Cloud in A Box จากยิบอินซอย ผสานที่สุดของซอฟทแวร์จาก VMware และฮาร์ดแวร์จาก HPE