产品对比
专业版和企业版有什么区别?
产品对比
专业版和企业版有什么区别?
下载
下载最新版本的Burp Suite。
发布:2019年11月20日,14:59 UTC
更新:2019年11月20日在15:33 UTC
厌倦了证明您不是机器人?在这篇文章中,我将展示您如何部分绕过Google recaptcha通过使用新的Turbo入侵者功能来触发比赛条件。8个月前向Google报告了这种漏洞,但他们拒绝解决该问题,将补丁负担留在各个网站上。beplay体育能用吗作为案例研究,我将以Reddit为目标。
在研究时HTTP DESANC攻击,我发现我需要在一个很小的时间窗口中发送一组HTTP请求,以最大程度地减少其他人的要求降落在我的攻击和干扰中间的机会。我转向涡轮入侵者,它使用自定义的HTTP堆栈从头开始构建,并考虑到速度。但是,Turbo入侵者最初是为总请求吞吐量(每秒请求)而设计的,而不是同时提出请求。
为了解决这个问题,我添加了对最后一个字节同步的支持,在该字节同步中,Turbo首先发送了除最后一个字节以外的所有请求,然后,当它们准备就绪时,通过发送最后一个字节来“释放”每个请求。这有助于最大程度地减少网络拥堵和延迟对我们同时处理多个请求的尝试的影响。我不确定是谁发明了这项技术 - 几年前我第一次看到它被用来提高正时攻击准确性 - 但肯定有效。
要使用此功能,只需在排队请求时添加一个“ gate”参数,然后调用引擎。
eNgire.Queu(请求,GATE ='Race1')
eNgire.Queu(请求,GATE ='Race1')
Engine.opengate('Race1')
有关更多详细信息,请查看示例脚本。
在制定这种策略时我写了一个基准确保它实际上具有预期的效果。这反复向公共网站发送了一批关于消费级宽带的五个请求,并衡量了第一个和第二个请求到达服务器的距离。beplay体育能用吗
使用基本的五线程方法导致平均差异为2.7ms(0.0027秒)。在发送任何请求之前,确保每个TCP连接都已完全建立,并将该窗口降低到1.4ms,最后一个字节的技术将其挤压到一个微小的0.7ms-使其在触发比赛条件下的有效性大约是两倍。
我还增加了对每块回调,当您有种族条件需要从中间攻击中读取信息的情况时LFI带有phpinfo帮助。
此后不久,我被要求对Portswigger的自我注册功能进行安全审核,我们在此之前介绍了该功能beplay官网可以赌beplay体育能用吗网络安全学院发射。
用户应该仅限于每个电子邮件地址注册一个帐户,这使得注册成为检查时间的潜在目标(toctou) 开发。但是有一个捕获 - 该表格受到recaptcha的保护,每个人都知道您只能使用有效的recaptcha解决方案,对吗?好吧,我无论如何都尝试了,事实证明,如果您走得足够快,可以使用几次。
由于Recaptcha的设计,这尤其令人惊讶,在该设计中,用户未直接连接到验证解决方案令牌的服务器。当您执行此攻击时,实际上您正在强迫目标网站代表您触发比赛条件:beplay体育能用吗
Turbo Intruder <->目标网站<-> beplay体育能用吗Google Recaptcha
我考虑给它一个花哨的标签,例如“二阶竞赛条件”。但是,在这个反向代理和负载链链的时代,大多数种族条件在某种程度上是“二阶”。
找到漏洞后,我们立即部署了一个解决方法来修补我们的网站,并向Google报告了该问题,并提供了概念证明,显示了目标网站<-> Google Recaptcha Race条件。beplay体育能用吗在过去我在Google的安全团队中有很多很棒的经验,但是这次预定要与众不同。
Google要求进行视频,当被问及为什么概念证明不够回复时”请分享一个视频POC,因为我们在与相关团队联系时需要相同的情况。“
这不是一个很好的信号,但我最终提供了一个视频,并重申了我在实时网站上发现了这个漏洞。beplay体育能用吗Google然后礼貌地宣布这个问题是虚构的,说他们“不要以为这次攻击在野外是合理的“ 由于 ”第三方服务器,攻击者和我们之间的延迟,同时还考虑了第三方的服务器的工作负载和并发”。
我没有浪费更多的时间和精力来与Google争论中等严重的发现,而是选择了公开披露。这种漏洞几乎使用recaptcha影响了所有网站 - 对于我的示例目标,我选beplay体育能用吗择了reddit,因为它是垃圾邮件发送者的众所周知的目标,并且帐户注册过程受到recaptcha的保护。雷迪特(Reddit)表示同意,我可以发布有关行动攻击的视频:
显而易见的影响是您现在可以为每个已解决的验证码注册的垃圾邮件量的三倍,可能会使您的垃圾邮件速率增加三倍。这很容易通过机械土耳其风格的服务来束缚。
第二,更有趣的含义是,在其他站点上,这可能会在recaptcha保护的线程安全代码中剥削种族条件 - 例如,发布评论或投票。
希望这篇文章将有助于说服Google的某人这次攻击实际上是合理的,应修复。直到那时,如果您使用的是recaptcha,则需要通过锁定/同步在G-Recaptcha响应令牌。根据您自己的应用程序体系结构,这可能是不可能的,您必须等待Google修复它。