Captcha Güvenlik Testleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

  • Hedef sistemdeki catpcha uygulamasını etkisiz bırakarak otomatik form gönderme imkanı yakalamak.
  • Capthca uygulamasının zafiyetlerini istismar ederek sistemi servis dışı bırakmaya çalışmak.

Araçlar:

  • Burp Suite

Adımlar:

  • Hedef sistemde captcha uygulaması bulunan forma gidilerek, geçerli bilgiler ve captcha değeri ile form doldurulur. Gönderilen istek Burp Suite ile kesilir. Kesilen istek Burp "Repeater" eklentisine gönderilir ve burada captcha değeri aynı bırakılıp form değerleri değiştirilerek istek birçok kez gönderilmeye çalışılır. Eğer başarılı olursa captcha etkili çalışmıyor demektir.
  • Bir başka yöntem de captcha’yı birkaç kez yeniden istemektir. Burada amaç sistemin birkaç denemeden sonra hep aynı captchayı gönderip göndermeyeceğini test etmektir.
  • Captcha uygulamaları bazen dinamik olarak captchayı oluşturmak için en, boy gibi bazı parametreleri HTML nesnelerinden veya URL’den alabilirler. Bu değerler istemci tarafından manipüle edilebilir olduğu için çok büyük en, boy değerleriyle çok sayıda istek gönderilerek sunucunun hem beklenenin üstünde işlemci gücü hem de bant genişliği kullanması sağlanarak sistem servis dışı bırakılabilir.

Kaynak:[değiştir]