ผู้เชี่ยวชาญพบสามารถลัดผ่าน reCAPTCHA ด้วย HTTP Parameter Pollution

Andres Riancho ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้แจ้งพบช่องโหว่ที่ช่วยให้ผู้โจมตีลัดผ่านกระบวนการ Google reCAPTCHA ในเว็บแอปพลิเคชันที่มีการเรียกใช้งานอย่างไม่ปลอดภัย (/recaptcha/api/siteverify) โดยใช้วิธีการ Http Parameter Pollution ซึ่งนักวิจัยได้ค่าตอบแทนจาก Google ไปประมาณ $500 เหรียญสหรัฐ

ขั้นตอนการทำงานคือเมื่อเว็บแอปมีการใช้งาน reCAPTCHA ต่อผู้ใช้  “Google จะส่งเซตของรูปภาพมาและใช้ JavaScript แสดงผลที่บราวน์เซอร์” –จากรายงานของผู้เชี่ยวชาญ หลังจากที่ผู้ใช้งานกด Verify แล้วจะก่อให้เกิดการร้องขอไปยังเว็บแอปพลิเคชัน ในส่วนนี้เว็บแอปพลิเคชันจะพิสูจน์ตัวตนของตัวเองและส่งค่า Hash ของ reCAPTCHA ไปยัง API เพื่อรอฟังคำตอบถ้า (ภายในมีตัวแปรที่ระบุว่าผ่านหรือไม่ผ่าน ผู้สนใจติดตามเพิ่มเติมได้ที่ https://developers.google.com/recaptcha/docs/verify)

อย่างไรก็ตามทาง Riancho พบว่ามันเป็นไปได้ที่จะส่งการร้องขอ 2 ครั้งไปยังบริการของ Google และได้รับผลแบบเดียวกัน โดยตัวของ API มันจะใช้ Secret Parameter ตัวแรกและละเลยตัวที่สอง จุดนี้เองที่เป็นช่องโหว่ได้แต่การใช้งานได้ต้องเข้าเงื่อนไข 2 ข้อ ซึ่งทางผู้เชี่ยวชาญกล่าวว่า “ถ้าตัวเว็บแอปพลิเคชันเองมีช่องโหว่ต่อวิธีการ HTTP Parameter Pollution และ URL ที่สร้างขึ้นมีการต่อท้าย Respond Parameter ก่อน Secret จะทำให้ผู้โจมตีสามารถลัดผ่านการตรวจสอบ reCAPTCHA ได้”

โดยตอนนี้ทาง Google ได้แก้ไขช่องโหว่ดังกล่าวแล้วด้วยการให้ REST API นั้นคืนค่า Error กลับไปเมื่อพบการร้องขอ HTTP ที่เข้ามายัง /recaptcha/api/siteverify ด้วย 2 พารามิเตอร์ 2 ที่มีชื่อเดียวกัน

ที่มา : https://www.securityweek.com/http-parameter-pollution-leads-recaptcha-bypass