A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Apresentações semelhantes


Apresentação em tema: "Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Transcrição da apresentação:

1 Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP CAPTCHA Analysis OWASP Tools and Techniques Ulisses Castro Security Researcher CAPTCHA Analysis

2 OWASP 2 Ulisses Castro

3 OWASP 3 Acrônimo C ompletely A utomated P ublic T uring test to tell C omputers and H umans A part

4 OWASP 4

5 5 Turing Test Alan Mathison Turing ~Outubro 1950 The idea was that a computer could be said to "think" if a human interrogator could not tell it apart.

6 OWASP 6 Turing Test Reverse Turing Test CAPTCHA

7 OWASP 7 Proteções Automação de ações "limitador" Spam de mensagens, blogs, forums,... Registros de contas, consultas, downloads,... Sistemas de votação, enquetes,... Ataques de força bruta e dicionário Robôs de pesquisa e "scrapers"...

8 OWASP 8 Quando o Reverse Turing Test falha? Implementações inseguras e mal planejadas Falta de testes (OWASP-AT-008) Imagens criadas sem randomicidade de cores, distorção, sujeira, sobreposição, rotação, fontes,... Número limitado de imagens Range de caracteres baixo Ex: 4 dígitos numéricos (10^4)

9 OWASP 9 OWASP Testing Guide Testing for Captcha (OWASP-AT-008) "... if a human interrogator could not tell it apart." Como testar?

10 OWASP 10 Inteligência Artificial !

11 OWASP 11 Ferramentas PWNtcha - captcha decoder Captcha Breaker ???? Poucas ferramentas automatizam os testes de forma abrangente. Muitas automatizam específicamente! (todas pagas!)

12 OWASP 12 Apresento....py OWASP, GPL, Link, Download, etc... etc... Versão alpha 0.1

13 OWASP 13 Como funciona?

14 OWASP 14 Como funciona?

15 OWASP 15 Técnicas Fuzzing de limiar/threshold Ranking por repetição de palavras reconhecidas Ranking por posição de caracteres reconhecidos Fuzzing de OCR(s)

16 OWASP 16 DEMO Transformando CAPTCHA em TEXTO

17 OWASP 17 OCR(s) Integrados Tesseract Orcad Gocr Cuneiform

18 OWASP 18

19 19 Processamento Digital de Imagem (PDI) Binarização Caso específico da Segmentação Conversão para dois tons dado ponto de corte limiar/threshold Objetivo separar determinado objeto de interesse de seu fundo Escolha do Limiar/Thresehold Inspeção do histograma Threshold automático (algorítmos) Tentativa e erro :-)

20 OWASP 20 Binarização

21 OWASP 21 Binarização Manual DEMO

22 OWASP 22 Coincidência? Quebrar o CAPTCHA apenas uma vez não significa que o sistema que estamos testando é falho. Testes de significância estatísticas são necessários para apurar porcentagem de acerto.

23 OWASP 23 Teste de Significância Estatística DEMO

24 OWASP 24 Melhores práticas Ser gerado sempre do lado do servidor Ser validado do lado do servidor Randomicidade das variáveis Imagem não pode ser gerada baseada em token guardado do lado do cliente (hidden) Tem quer ser relacionada a uma sessão Sessão deve ser destruída após o uso (replay attacks) Ser gerada novamente a cada tentativa, com ou sem sucesso Não utilizar palavras de dicionário para criação do captcha

25 OWASP 25 ReCaptcha (Google) Para quebrar normalmente o custo é maior que o benefício...

26 OWASP 26...ou não.

27 OWASP 27 MotionCAPTCHA

28 OWASP 28 MotionCAPTCHA DEMO

29 OWASP 29 nucaptcha

30 OWASP 30 nucaptcha DEMO

31 OWASP 31 OBRIGADO! Ulisses Castro uss.thebug [a] Agradecimento especial para Conviso Application Security

32 OWASP 32 Referências captcha-challenge aptcha-jquery-plugin/ how-to-break-captchas/ ocr/wiki/TrainingTesseract3 sec.com/blog/index.php/breaking-weak-captcha- in-26-lines-of-code/ _estat%C3%ADstica A sec.com/blog/index.php/capture-the-captcha- and-the-winner-is/


Carregar ppt "Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."

Apresentações semelhantes


Anúncios Google