RebreakCaptcha – 구글의 API를 사용해 ReCaptcha v2 우회하는 방법 발견 돼
최근 보안 연구원이 구글의 reCaptcha V2 인증 시스템을 우회하는 PoC를 고안해 냈습니다. 이 방법은 ReBreakCaptcha라 명명되었습니다.
이 PoC는 구글의 웹기반 툴을 사용합니다.
제작자에 따르면, ReBreakCaptcha를 사용하면 “웹의 어디에서나 구글의 reCaptcha v2를 쉽게 우회할 수 있다.”
CAPTCHA 서비스는 한번에 수 천개의 계정들을 등록하는 봇이나 스크립트를 무효화 하기 위해 고안되었으며, ReCaptcha는 이미지, 오디오, 텍스트 문제들을 활용해 온라인 서비스에 접근한 것이 사람인지 여부를 확인하는 방법입니다.
<출처 : http://securityaffairs.co/wordpress/56816/hacking/rebreakcaptcha-google-recaptcha-hacking.html>
ReBreakCaptcha는 구글 API를 활용해 오디오 문제를 사운드 파일로 캡쳐하는 스크립트를 사용해 reCaptcha v2를 우회할 수 있습니다.
ReBreakCaptcha는 다음과 같은 3단계로 동작합니다.
오디오 문제 – 오디오 문제 유형을 얻는다.
인식 – 오디오 문제의 오디오를 변환해 구글의 음성 인식 API로 보낸다.
확인 – 음성 인식 결과를 확인해 ReCaptcha를 우회한다.
<출처 : http://securityaffairs.co/wordpress/56816/hacking/rebreakcaptcha-google-recaptcha-hacking.html>
ReBreakCaptcha 기술에 관심이 있다면, GitHub에서 파이썬 기반의 PoC 스크립트를 확인할 수 있습니다.
참고 :
http://securityaffairs.co/wordpress/56816/hacking/rebreakcaptcha-google-recaptcha-hacking.html
https://east-ee.com/2017/02/28/rebreakcaptcha-breaking-googles-recaptcha-v2-using-google/
https://github.com/eastee/rebreakcaptcha
중국산 게이트웨이에서 Root권한의 백도어 발견! (0) | 2017.03.07 |
---|---|
PowerShell 명령어를 실행하기 위해 DNS 쿼리를 사용하는 새로운 파일리스 공격 (0) | 2017.03.06 |
구글 플레이에 등록 된 앱 130개 이상, 사용자들을 윈도우 악성코드에 감염시키려 시도해 (0) | 2017.03.02 |
SHA-1, 더이상 안전하지 않아 (0) | 2017.02.27 |
CloudFlare를 사용하는 수 백만 사이트들에서 중요 정보를 유출하는 심각한 버그 발견 (0) | 2017.02.27 |
댓글 영역