Upgrade to Pro — share decks privately, control downloads, hide ads and more …

«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин

OWASP Moscow
March 05, 2020
Programming
0
400

«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин

Видео: https://youtu.be/DjHAbg0XWZg
OWASP Moscow 2020/1 (https://habr.com/ru/company/owasp/blog/497830/)

OWASP Moscow

March 05, 2020
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
330
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
520
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
770
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
450
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
460
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
450
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
390
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
380
«Свой среди чужих», Антон Лопаницын
owaspmoscow
0
380

Other Decks in Programming

See All in Programming
GitHub Actionsで泣かないためにやっておきたい設定 / Recommended GHA settings to avoid crying
pinkumohikan
3
540
"config" ってなんだ? / What is "config"?
okashoi
0
240
Goのmultiple errorsについて (2024年4月版)
syumai
4
930
Ruby GitHub Packages
bkuhlmann
0
630
大規模Reactアプリのリアーキテクチャ~8万行のTanStack Query移行の軌跡~
kj455
4
960
ADRを一年運用してみた/adr_after_a_year
hanhan1978
7
2.4k
try! Swift Tokyo 2024 参加報告 / try! Swift Tokyo 2024 Report
hironytic
0
210
Code Reviews
bkuhlmann
4
890
効率化に挑戦してみたらモバイル開発が少し快適になった話
ryunakayama
0
130
Ruby Function Composition
bkuhlmann
1
330
Milestoner
bkuhlmann
1
410
try! Swift Tokyo 初参加報告LT
hinakko2
0
220

Featured

See All Featured
4 Signs Your Business is Dying
shpigford
175
21k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.6k
Designing for Performance
lara
601
67k
Making the Leap to Tech Lead
cromwellryan
124
8.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
241
1.2M
The Invisible Side of Design
smashingmag
294
49k
Learning to Love Humans: Emotional Interface Design
aarron
267
39k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
121
39k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
Code Review Best Practice
trishagee
55
15k

Transcript

  1. CAPTCHA в изолированной среде. Malkin V. @VitMalkin

  2. Содержание • О себе • Captcha • Captcha в изолированной

    среде. Типовые проблемы и ошибки • From captcha to RCE • Captcha в изолированной среде. Типовые решения

  3. О себе • 9 лет опыта в ИБ (НТЦ Атлас,

    МТС, PwC, Информзащита) • Играл за команды EpicTeam / True0xA3 • Текущая работа – руководитель лаборатории в компании которая гарантировано задолбала вас в LinkedIn • Абсолютно точно не Web Expert

  4. CAPTCHA • Text • Math • Image-based • Commercial •

    Re-captcha Computer Automated Public Turing test to tell Computers and Humans apart.

  5. 1. How to identify client? • SessionID • IP address

    • Username 2. How to generate CAPTCHA? • Bad RNG • Bad generator 3. How to check CAPTCHA? • Client-side check • Null-based attack • Repeat attack CAPTCHA attacks

  6. From CAPTCHA to RCE (Apache + PHP)

  7. Recommendations • Fingerprint • Proof of work • SimpleCAPTCHA, PureCAPTCHA