CAPTCHA Nasıl Atlatılır?

CAPTCHA nedir?

Bilgisayar ile insan davranışlarının ayırt edilmesi için kullanılan bir güvenlik önlemidir.

Hesap erişim noktalarındaki güvenliği arttırarak deneme yanılma yöntemi ile gerçekleştirilen parola tahmin etme saldırılarını (Brute Force) önlemek için de kullanılır.

CAPTCHA yeterli mi?

Yapılan bir araştırma CAPTCHA’nın yetersiz olduğunu bize gösterdi. CAPTCHA’yı aşmanın bir çok yolu var ancak şu an için bunlardan en etkilisi CAPTCHA çözme hizmetleri olarak görülüyor. Google’da yapılan hızlı bir aramayla bu alanda çözüm veren birçok isme ulaşılabiliyor.

Hackerlar CAPTCHA nasıl atlatıyor?

2Captcha’nın sunduğu çözümlerin siber suçlular tarafından ReCAPTCHA sistemini aşmak için nasıl kullanılabileceğini hep birlikte görelim:

ReCaptcha içeren sayfanın kaynak kodunu görüntüleyip HTML kodunun içeriğinden data-sitekey  parametresindeki değeri 2Captcha sunucularına yapacağımız ilk istek için kopyalıyoruz.

Bundan sonra tüm isteklerimizde kullanacağımız 2Captcha’dan aldığımız API anahtarı ve ReCaptcha’ya ait bir HTML nesnesinin data-sitekey değerini kullanarak aşağıdakine benzer bir URL’i elde ettik.

http://2captcha.com/in.php?key=<2Captcha API Anahtarı>&method=userrecaptcha&googlekey=<data–sitekey değeri>&pageurl=<Sayfa adresi>

URL’i tarayıcı üzerinden ziyaret ettiğimizde 2captcha sunucularına bir GET isteği yapıyoruz ve aşağıdaki yanıtı alıyoruz:

Yanıttan aldığımız “OK” ifadesi bize her şeyin yolunda olduğunu söylüyor. Pipe(|) karakterinin ardından gelen rakamları ve API anahtarını kullanarak aşağıdaki şablona uygun URL’i oluşturup, yeni bir istek gönderdik.

http://2captcha.com/res.php?key=<2Captcha API Anahtarı>&action=get&id=<bir önceki istekten alınan ID değeri>

ReCaptcha’nın çözümü henüz hazır olmadığı için CAPCHA_NOT_READY yanıtını aldık:

ReCaptcha içeren form sayfamızı yeniden yükleyip isteği tekrar ettiğimizde bize düz bir metin geri döndürdü. Aslında bu metin CAPTCHA’mızın 2Captcha tarafından başarıyla çözüldüğünü gösteriyor:

 

Son olarak CAPTCHA sayfamıza geri dönüp Öğeyi Denetle seçeneğini kullanarak HTML kodları arasında g-recaptcha-response metnini aratarak ilgili eleman için tanımlanmış display özelliğini inline olarak değiştirip metin kutusunu görünür kıldık:

Metin kutusuna elde ettiğimiz düz metini yapıştırıp formu gönderdiğimizde bazen hiçte eğlenceli olmayan o testlere tabi tutulmadan doğrulamanın başarılı bir şekilde aşıldığını görüyoruz

Bunu elle yapmış olmamız biraz zaman almış olabilir ancak bu sadece tarayıcı kullanarak birkaç adımda yapabileceğimiz basit bir örnekti. Siber suçlular Python gibi programlama dillerini kullanarak aynı işlemleri hızlı bir şekilde gerçekleştirilebilir ve bu yöntemle sitelerinize geniş çaplı bir saldırı düzenleyebilirler.

Tek bir çözüm hiçbir zaman tam anlamıyla sizi korumayacaktır bu nedenle daha fazla güvenlik için aşağıdaki önlemleri almanızı öneriyoruz:

  • Hesaplarınız için çok bilinen kullanıcı adı ve parolaları kullanmayın.
  • Oturum açarken en fazla kaç hatalı giriş denemesi yapılabileceğini belirleyin.
  • Hesaplarınıza hatalı giriş denemesi yapıldığında bunları e-postanıza veya telefonunuza bildiren mekanizmalar kullanın.
  • Çok fazla başarısız giriş denemesi yapılan IP adreslerinin kaydını tutun ve bu IP adreslerini engelleyin.
  • Web uygulamaları için Yönetici kontrol paneline erişen URL’leri benzersiz yapın.
  • Sistemde bulunan kullanıcıların tespit edilmesini sağlayabilecek olası güvenlik açıklarını giderin.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*