新发布的工具使解决人类验证挑战的轻松工作
F-Secure表示,使用其基于AI的验证码裂纹服务器Captcha22,它可以在破解Microsoft Outlook的基于文本的验证码方面达到90%的精度。
在过去的两年中,安全公司一直在使用机器学习训练可以解决特定验证码的独特模型的技术,而不是试图构建一个尺寸合适的模型。
而且,最近,它决定在Outlook Web应用程序(OWA)门户使用的验证码上尝试该系统。beplay体育能用吗
最初的尝试,根据F-Secure,相对不成功,团队发现,在手动标记200个验证码之后,它只能以22%的精度识别角色。
出现的第一个问题是噪音,团队确定噪声和文本的灰度价值始终在两个不同的恒定范围内。对该工具进行调整有助于滤除噪音。
该团队还意识到,一些测试验证码被错误地标记了,例如“ L”和“ I”(较低的Case'L'和Upper Case'I')之间的混乱。解决这一缺点的准确性可达到47%。
Pyppeteer拉弦
但是,更具挑战性的是处理Outlook的网络门户网站的验证码提交。beplay体育能用吗
没有CAPTCHA POST请求,而是将验证码作为附加到cookie的值发送。JavaScript被用来键入用户,因为键入了验证码的答案。
F-Secure的高级信息安全顾问Tinus Green说:“我们决定使用Pyppeteer(浏览模拟Python软件包)来模拟输入验证码的用户。”
“这样做,JS会自动照顾我们的提交。”
格林补充说:“我们可以使用此仿真软件在阻止条目并解决后,我们可以继续进行常规攻击,从而再次自动化该过程。
“我们现在还重构了Captcha22进行公开发布。”
冠军旗帜
CAPTCHA是许多网站使用的挑战响应测试,以区分人用户注册或访问Web服务的真实请求和BOTS自动请beplay体育能用吗求。
例如,垃圾邮件发送者试图绕过验证码,以创建可以滥用的帐户,以分发垃圾邮件。
验证码是网络犯罪分子和安全研究人员的磁铁,网络管理员努力领先一步。beplay体育能用吗
例如,去年年底,PortSwigger Web安全性beplay官网可以赌beplay体育能用吗裸露Google的Recaptcha的安全弱点,可以通过使用以研究为重点的BURP Suite扩展名Turbo Intruder来部分绕过它。
不久之后,马里兰大学的一支学者团队能够绕过Google的Recaptcha V2使用基于Python的程序UNFAPTCHA的反机制机制,可以解决其音频挑战。
格林说:“在创建一个用户友好的验证码之间 - 我们称之为奶奶,并且足够复杂,可以防止通过计算机求解。在这一点上,似乎平衡不存在。”
beplay体育能用吗他说,Web管理员不应该通过用户名枚举“赠送一半的所需信息”,并且应要求用户设置符合NIST标准的强大通行证。
而且,他补充说:“接受可以破坏帐户,因此将MFA [多因素身份验证]作为额外的障碍。”
