TÌM HIỂU VỀ CAPTCHAR VÀ PHƯƠNG PHÁP TẠO CAPTCHAR PTIT

17 1.4K 16
TÌM HIỂU VỀ CAPTCHAR VÀ PHƯƠNG PHÁP TẠO CAPTCHAR PTIT

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

I.TỔNG QUAN VỀ CAPTCHA 1. Khái niệm về CAPTCHA.CAPTCHA: viết tắt của cụm từ Completely Automated Public Turing test to tell Computers and Humans Apart, là hình ảnh chứa xác nhận bị bóp méo, gây khó nhận biết với máy móc nhưng đơn giản với con người, nhằm giúp phân biệt đối tượng đang truy cập là người hay máy. Những hình ảnh này có thể là kí tự, chữ số, hình ảnh về động vật, biển bảo giao thông, vân vân.CAPTCHA được đặt ra vào năm 2000 bởi Luis von Ahn, Manuel Blum, Nicholas Hopper and John Langford của đại học Carnegie Mellon.CAPTCHA được tạo ra nhằm ngăn chặn các ứng dụng có thể thực hiện một cách tự động trên trình duyệt web của người dùng. Mã CAPTCHA thường được sử dụng trên các trang đăng kí tài khoản, lấy ý kiến trên blog, các trang bình chọn,…nhằm giảm lượng spam ảo.II.PHÂN LOẠI CAPTCHA.Có rất nhiều loại CAPTCHA khác nhau, tùy thuộc vào mức độ phức tạp của hình ảnh. Sau đây là 5 loại mã CAPTCHA phổ biến nhất. 1. The Standard Distorted Word CAPTCHA with an Audio Option(Chuẩn Captch bị bóp méo với một lựa chọn âm thanh): xuất phát từ các công ty CAPTCHA phổ biến trên mạng, reCAPTCHA. Nó khá tin cậy, nhưng một số hình ảnh bị bóp méo hơi khó để giải quyết. Nếu quá khó để nhập đúng mã CAPTCHA thì nó cho phép “reCAPTCHA” để tạo một hình ảnh mới. Hoặc một tùy chọn bằng âm thanh đề phòng trường hợp nhập mã không khả quan. 2. Picture Identification CAPTCHA(Mã CAPTCHA xác thực bằng hình ảnh): loại mã này yêu cầu người dùng lựa chọn hình ảnh sao cho phù hợp với câu hỏi được yêu cầu. Việc xác thực bằng hình ảnh khá dễ dàng so với xác thực bằng “The Standard Distorted Word CAPTCHA with an Audio Option”. 3. Math Solving CAPTCHA(Mã CAPTCHA xử lý toán học): Một hình ảnh chứa một phép toán số học yêu cầu người dùng tính toán và nhập kết quả để xác nhận. 4. 3D CAPTCHA(Mã CAPTCHA 3D): Loại CAPTCHA này rất khó đọc, là kẻ thù của robot. Có một số loại 3D CAPTCHA bao gốm cả hình ảnh và âm thanh. Chúng được gọi là “SuperCAPTCHA”. 5. Adinjected CAPTCHA(Mã CAPTCHA chèn quảng cáo): Đây là loại mã CAPTCHA đơn giản nhưng có chèn thêm thương hiệu vào cùng với mã CAPTCHA nhằng quảng cáo cho thương hiệu đó. III. CÁC ỨNG DỤNG CỦA CAPTCHA1. Preventing Comment Spam in Blogs(Ngăn chặn rác trong các trang Blogs thảo luận): Hầu hết các trang Blog đã quen với các chương trình gửi ý kiến không có thực, thường dùng với mục đích nâng cao thứ hạng trên các công cụ tìm kiếm của một số trang web. Nó được gọi là các bình luân

BỘ THÔNG TIN TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ✍ •✍ BÁO CÁO MÔN : AN TOÀN ỨNG DỤNG WEB ĐỀ TÀI:TÌM HIỂU VỀ CAPTCHAR PHƯƠNG PHÁP TẠO CAPTCHAR MỤC LỤC I I TỔNG QUAN VỀ CAPTCHA Khái niệm CAPTCHA - CAPTCHA: viết tắt cụm từ Completely Automated Public Turing test to tell Computers and Humans Apart, hình ảnh chứa xác nhận bị bóp méo, gây khó nhận biết với máy móc đơn giản với người, nhằm giúp phân biệt đối tượng truy cập người hay máy Những hình ảnh kí tự, chữ số, hình ảnh động vật, biển bảo giao thông, vân vân - CAPTCHA đặt vào năm 2000 Luis von Ahn, Manuel Blum, Nicholas Hopper and John Langford đại học Carnegie Mellon - CAPTCHA tạo nhằm ngăn chặn ứng dụng thực cách tự động trình duyệt web người dùng Mã CAPTCHA thường sử dụng trang đăng kí tài khoản, lấy ý kiến blog, trang bình chọn,…nhằm giảm lượng spam ảo II PHÂN LOẠI CAPTCHA Có nhiều loại CAPTCHA khác nhau, tùy thuộc vào mức độ phức tạp hình ảnh Sau loại mã CAPTCHA phổ biến 1 The Standard Distorted Word CAPTCHA with an Audio Option(Chuẩn Captch bị bóp méo với lựa chọn âm thanh): xuất phát từ công ty CAPTCHA phổ biến mạng, reCAPTCHA Nó tin cậy, số hình ảnh bị bóp méo khó để giải Nếu khó để nhập mã CAPTCHA cho phép “reCAPTCHA” để tạo hình ảnh Hoặc tùy chọn âm đề phòng trường hợp nhập mã không khả quan Picture Identification CAPTCHA(Mã CAPTCHA xác thực hình ảnh): loại mã yêu cầu người dùng lựa chọn hình ảnh cho phù hợp với câu hỏi yêu cầu Việc xác thực hình ảnh dễ dàng so với xác thực “The Standard Distorted Word CAPTCHA with an Audio Option” 3 Math Solving CAPTCHA(Mã CAPTCHA xử lý toán học): Một hình ảnh chứa phép toán số học yêu cầu người dùng tính toán nhập kết để xác nhận 4 3D CAPTCHA(Mã CAPTCHA 3D): Loại CAPTCHA khó đọc, kẻ thù robot Có số loại 3D CAPTCHA bao gốm hình ảnh âm Chúng gọi “Super-CAPTCHA” Ad-injected CAPTCHA(Mã CAPTCHA chèn quảng cáo): Đây loại mã CAPTCHA đơn giản có chèn thêm thương hiệu vào với mã CAPTCHA nhằng quảng cáo cho thương hiệu III CÁC ỨNG DỤNG CỦA CAPTCHA Preventing Comment Spam in Blogs(Ngăn chặn rác trang Blogs thảo luận): Hầu hết trang Blog quen với chương trình gửi ý kiến thực, thường dùng với mục đích nâng cao thứ hạng công cụ tìm kiếm số trang web Nó gọi bình luân rác Bằng cách sử dụng CAPTCHA, có người bình luận vào Blog Không yêu cầu người dùng phải đăng nhập trước họ đăng bình luận, bình luận đáng bị bỏ qua Protecting Website Registration(Bảo vệ đăng kí Website): Một vài công ty(Yahoo!, Microsoft, vân vân) cung cấp dịch vụ email miễn phí Một vài năm trước, hầu hết dịch vụ phải chịu loại hình công: “bots” đăng kí hàng nghìn tài khoản email phút giải pháp cho vấn đề sử dụng CAPTCHA để đảm bảo có người đăng kí email Nói chung, dịch vụ miễn phí nên bảo với CAPTCHA để ngăn chặn lạm dụng bời kịch đăng kí tự động 3 Protecting Email Addresses From Scrapers(Bảo vệ địa email khỏi kẻ thu thập): Những kẻ gửi thư giác thu thập địa email trâng web CAPTCHA cung cấp chế hiệu để ẩn địa email bạn đọc tự Web Ý tưởng yêu cầu người dùng nhập mã CAPTCHA trước hiển thị địa email bạn Online Polls(Bình chọn trức tuyến): Vào tháng 11 năm 1999, http://www.slashdot.org tổ chức bình chọn trực tiếp trường đại học có ngành khoa học máy tính tôt nhất(một câu hỏi nguy hiểm web) Giống trường hợp bình chọn online, địa IP người bình chọn ghi lại để đảm bảo người bỏ phiếu bỏ nhiều lần Tuy nhiên, sinh viên đại học Carnegie Mellon(CMU) tìm thấy cách để nhét phiếu bình chọn sử dụng chương trình bình chọn cho CMU hàng ngàn lần Điểm CMU tăng nhanh chóng Ngày hôm sau, học sinh MIT lại viết chương trình riêng họ bình chọn trở thành thi “bot” MIT hoàn thành với 21.156 phiếu bầu, CMU với 21.032 phiếu bầu trường khác có 1.000 phiếu bầu Do vậy, sử dụng mã CAPTCHA bình chọn trực tuyến giúp giảm hẳn trường hợp phiếu ảo từ “bot” Preventing Dictionary Attacks(Ngăn chặn công từ điển): CAPTCHA sử dụng để ngăn chặn công từ điển hệ thống mật Ý tưởng đơn giản: ngăn chặn chương trình tự động điền toàn không gian mật cách yêu cầu giải CAPTCHA sau đăng nhập số lần không thành công Điều hiệu so với phương pháp khóa tài khoản người dùng nhập sai số lần, hạn chế tình trạng kẻ công khóa tài khoản nạ nhân theo ý muốn Search Engine Bots(Công cụ tìm kiếm Bot): CAPTCHA sử dụng để ngăn chặn việc tìm kiếm trang web khó hơn, xuất phát từ yêu cầu chủ trang web 7 Worms and Spam(Sâu thư rác): CAPTCHA cung cấp giải pháp hợp lý đối phó với sâu email thư rác IV TRIỂN KHAI CAPTCHA Nếu trang web bạn cần bảo khỏi lạm dụng, bạn nên sử dụng CAPTCHA Có nhiều cách triển khai CAPTCHA, số cách tốt so với người khác Sau hướng dẫn khuyến khích cho mã CAPTCHA nào: Accessibility(Khả tiếp cận): CAPTCHA phải truy cập CAPTCHA dựa văn đọc nhiệm vụ trực quan- ngăn chặn người dùng khiếm thị tiếp cận với nguồn tài nguyên bảo vệ Bất kỳ CAPTCHA nên cho phép người khiếm thị xác nhận mã Ví dụ cho phép người dùng lực chọn xác nhận âm Hình ảnh an ninh: Hình ảnh CAPTCHA văn nên bị bóp méo cách ngẫu nhiên trước trình bày cho người sử dụng Nhiều CAPTCHA sử dụng văn không bị biến dạng hay văn bị bóp méo ít, dễ bị công bỏi công cụ tự động Script Secure: Xây dụng mã CAPTCHA an toàn không dễ dàng Ngoài để làm hình ảnh đọc máy tính, hệ thống phải đảm bảo cách dễ dàng xung quanh việc công Security Even After Wide-Spread Adoption: Có nhiều CAPTCHA không an toàn có nhiều trang web sử dụng chúng Khi trang bị vượt qua mã CAPTCHA, trang khác bị kéo theo Điều tạo động lực cho kẻ công cố gắng khai thác lỗ hổng CAPTCHA Should I make Own CAPTCHA: Tự làm CAPTCHA ý tưởng tồi, dễ gây lỗ hổng dễ thất bại Cách tốt bạn nên sử dụng dịch vụ cung cấp sẵn “re CAPTCHA” V CÁC CÁCH THỨC TẤN CÔNG CAPTCHA Tính khả dụng CAPTCHA trước tiên đánh giá qua khả chống lại công tự động Tuy nhiên, nhiều hệ thống CAPTCHA bị phá vỡ cách tương đối dễ dàng Chẳng hạn dịch vụ Microsoft CAPTCHA dựa đoạn văn sử dụng để bảo vệ dịch vụ trực tuyến Microsoft Dịch vụ đưa vào sử dụng từ năm 2002, tới năm 2008 bị giải Je Yan El Ahmad đại học Newcastel (Anh) Đến năm 2011, nhà khoa học thuộc trường đại học Stanford (Mỹ) giải thành công 13 số 15 chến CAPTCHA phổ biến sử dụng Điều đáng ý là, để giải chế CAPTCHA, tin tặc nhiều không cần bỏ công nghiên cứu, phát triển phần mềm nhận dạng tiên tiến mà qua mặt trình sinh kiểm tra phức tạp nhiều cách khác nhau, có hai loại phổ biến công vào máy khách công vào máy chủ Tấn công máy khách Do có nhiều lập trình viên thực việc sinh, lưu trữ kiểm tra CAPTCHA máy khách (điều ngược nguyên tắc thiết kế an toàn cho hệ thống phân tán ứng dụng web) nên tin tặc truy xuất lời giải CAPTCHA Một số cách công máy khách phổ biến gồm: - Tấn công vào trường ẩn vùng lưu trữ máy khách: trường ẩn vùng lưu trữ máy khách coi không an toàn để truyền nhận thông tin máy chủ máy khách Những giải pháp sử dụng JavaScript trường ẩn để kiểm tra CAPTCHA phía máy khách không mang lại giá trị bảo vệ bị tin tặc công cách dễ dàng - Tấn công lựa chọn giá trị chuỗi CAPTCHA: Một số website đặt hàm sinh CAPTCHA phía máy khách thành phần kiểm tra máy chủ Tuy nhiên, giải pháp CAPTCHA không sử dụng mã lệnh máy khách an toàn 100% Tin tặc công CAPTCHA phía máy chủ Tấn công máy chủ - Tấn công bảng Rainbow cho CAPTCHA: Việc sinh hình ảnh ngẫu nhiên phần quan trọng hệ thống CAPTCHA an toàn Hầu hết website dùng số hữu hạn giá trị CAPTCHA giá trị gán mã định danh Mã định danh gửi tới máy khách trường ẩn, hay phần URL nhận hình ảnh CAPTCHA Với website sử dụng mã định danh CAPTCHA tĩnh, phần lớn hình ảnh CAPTCHA tải xuống, xử lý phần mềm OCR hay xử lý thủ công để tạo nên bảng Rainbow Khi máy chủ trả mã định danh CAPTCHA giải, lời giải tìm thấy bảng gửi lên để vượt qua mặt công đoạn kiểm tra Ngược lại, máy khách gửi liên tiếp yêu cầu CAPTCHA hình ảnh với mã định danh biết trả Với website sử dụng mã định danh CAPTCHA động cho số hình ảnh hữu hạn, tin tặc lập bảng Rainbow dựa giá trị băm (MD5 hay SHA1) hình ảnh Khi nhận hình ảnh CAPTCHA mới, chúng tính giá trị băm dùng để tìm lời giải tương ứng với giá trị băm từ bảng liệu có sẵn - Tấn công lựa chọn CAPTCHA với mã định danh định: Trong số giải pháp, máy chủ trả mã định danh CAPTCHA cho máy khách, không lưu mã định danh hay lời giải tương ứng phiên HTTP Khi máy khách gửi tin lên, máy chủ trích xuất mã định danh từ dùng để tìm kiếm lời giải tương ứng Tin tặc lợi dụng điều để nhận dạng hình ảnh CAPTCHA nhất, lưu lại mã định danh lời giải gửi thông tin hàng loạt yêu cầu kiểm tra khác Một biến thể khác kiểu công vét cạn (thử nhiều lần liên tiếp) phiên làm việc Khi đoạn mã sinh hình ảnh CAPTCHA thiết lập lời giải phiên HTTP làm việc độc lập với đoạn mã kiểm tra CAPTCHA, đoạn mã kiểm tra CAPTCHA không xoá lời giải phiên HTTP, tin tặc gửi đi, gửi lại câu trả lời khác cho hình ảnh để dò câu trả lời - Tấn công CAPTCHA tích lũy: Một số giải pháp CAPTCHA tích lũy lời giải hay mã định danh CAPTCHA phiên HTTP Điều có nghĩa với yêu cầu nhận hình ảnh CAPTCHA mới, giá trị cũ giữ lại lời giải hay mã định danh CAPTCHA thêm vào phiên HTTP Tin tặc lợi dụng cách làm để nhận dạng thủ công hình ảnh CAPTCHA cho phiên HTTP, sau dùng lại lời giải/mã định danh với Session ID cho nhiều lần gửi thông tin lên máy chủ - Tấn công cách dùng phần mềm nhận dạng: Không phải giải pháp CAPTCHA xử lý đủ tốt để ngăn chặn phần mềm OCR Giải pháp CAPTCHA bị qua mặt phần mềm nhận dạng tiên tiến Hơn nữa, tin tặc sử dụng đồng thời nhiều phần mềm OCR khác để công: hình ảnh CAPTCHA chép chế nhận dạng khác xử lý đồng thời Nếu cách triển khai CAPTCHA có lỗ hổng để công vét cạn khai thác phiên làm việc, việc sử dụng nhiều phần mềm CAPTCHA khác giảm đáng kể số lần cần thử, để tìm lời giải cho phiên HTTP - Tấn công cách sử dụng người để nhận dạng: Từng có giả định rằng, tin tặc sử dụng website có nội dung xấu để chuyển yêu cầu nhận dạng CAPTCHA từ website nghiêm túc sang, qua lợi dụng người muốn truy cập nội dung không lành mạnh để giải mã thay cho máy gửi spam Tuy nhiên, cách làm không đảm bảo trì dịch vụ liên tục lại phức tạp Bên cạnh tồn loại hình dịch vụ nhận dạng cách sử dụng lao động giá rẻ số nước châu Á thông qua trang web kolotibablo.com Trang cung cấp API để khách hàng họ gửi hình ảnh CAPTCHA theo thời gian thực cho nhận giá trị nhân công giá rẻ nhận diện Họ cho biết có khoảng 500-1000 nhân công làm việc trực tuyến toàn giới số tiếp tục tăng lên VI HẠN CHẾ CỦA CAPTCHA CÁC PHUONG THỨC THAY THẾ - Việc hoàn thành CAPTCHA công việc dễ dàng Nhiều người cho rằng, nên ngừng sử dụng CAPTCHA chúng gây khó khăn cho người có thị lực kém, rối loạn khả đọc (dyslexia) hay có chứng bệnh đặc biệt khác Việc chuyển trách nhiệm từ chủ sở hữu website sang người dùng (những người góp phần tạo nên giá trị website) cách tốt Xét từ khía cạnh pháp lý, việc sử dụng CAPTCHA khiến chủ sở hữu website bị người dùng kiện số nơi có quy định vấn đề Vì thế, Dự án mở bảo mật ứng dụng web (OWASP) khuyên, nên thận trọng định sử dụng CAPTCHA Bên cạnh đó, giải pháp CAPTCHA sử dụng âm (audio captcha) có nhiều vấn đề hạn chế liên quan đến ngôn ngữ không an toàn so với CAPTCHA sử dụng hình ảnh (phần mềm DeCAPTCHA nhà nghiên cứu đại học Stanford có khả nhận dạng thành công 75% audio captcha eBay) - Những thất bại việc tìm kiếm giải pháp CAPTCHA tiện lợi cho người dùng, khiến cần xem xét cách nghiêm túc việc sử dụng CAPTCHA tìm kiếm hướng Dù hệ thống trí tuệ nhân tạo có nhiều tiến phần lớn chế chống spam thô sơ Trong đó, nghiên cứu phá vỡ CAPTCHA xuất ngày nhiều tin tặc chủ yếu tập trung khai thác lỗ hổng lôgic ứng dụng thay cố gắng nhận dạng tự động, điều khiến hy vọng việc sử dụng CAPTCHA thúc đẩy công nghệ nhận dạng trở nên khó khăn Dưới số gợi ý thay cho CAPTCHA: - Sử dụng giải pháp Akismet, Mollom SBlam! để phân tích liệu máy khách gửi lên, từ tự động phát spam Mollom sử dụng CAPTCHA, trường hợp hệ thống xác định chắn Các website phát triển hệ thống riêng dựa giải pháp lựa chọn phù hợp - Năm 2007, Phil Haack đề xuất phương pháp thông minh để phát máy gửi spam thêm trường ẩn vào web form Các phần mềm tự động tương tác với mã HTML gốc không phân tích kết chúng, không phát việc người dùng không nhìn thấy trường ẩn Nếu có liệu trường ẩn, máy chủ chắn liệu gửi tới người dùng thực cung cấp Phương pháp phức tạp hóa cách dùng JavaScript băm liệu Các biện pháp làm rối có độ an toàn không cao, giả định máy gửi spam tự động không đủ tinh vi để nhập thông tin Ngoài ra, dùng JavaScript để tự động điền vào trường ẩn, sau máy chủ kiểm tra xem có khớp không Việc kiểm tra thêm thời gian liệu phiên phát lần gửi liệu tự động - Ngoài ra, phương pháp đo thời gian nhập thông tin vào mẫu hay soạn thảo bình luận, theo dõi thao tác di chuột gõ phím người dùng máy khách dùng để phân biệt người dùng thực với máy móc Tất nhiên, chúng dùng biện pháp bổ trợ giải pháp cho chiến chống spam - Cuối cùng, tích hợp website với mạng xã hội phổ biến để góp phần hạn chế việc gửi tin nặc danh Các dịch vụ tích hợp Janrain cho phép website kết nối với mạng xã hội khác VII DEMO TẠO KIỂM TRA MÃ CAPTCHA - Trang web sau sử dụng ISP SERVLET để tạo kiểm tra mã CAPTCHA - Trang web bao gồm thành phần: thành phần tạo hình ảnh chứa mã CAPTCHA(CreateCaptcha.jsp), thành phần tạo form nhập cho người dùng(Form.jsp), thành phần đối chiếu mã CAPTCHA (Controlprocess.java), thành phần thông báo nhập mã CAPTCHA thành công(Home.jsp) - Thành phần tạo hình ảnh chứa mã CAPTCHA: • Tạo chuỗi mã gồm ký tự, sử dụng hàm Random, mảng ký tự gửi sang Controlprocess.java để xử lý tiếp • Tạo ảnh chứa chuỗi mã vừa tạo - Thành phần thứ giao diện nhập mã CAPTCHA - Thành phần cuối đối chiếu mã CAPTCHA gửi từ CreateCaptcha.jsp Form.jsp Nếu thành công chuyển sang trang thông báo thành công(Home.jsp) - Thành phần thông báo nhập mã thành công TÀI LIỆU THAM KHẢO • Luis von Ahn , Ben Maurer, Colin McMilen, David Abraham and Manuel Blum reCAPTCHA: Human – Based Character Recoqnition via Web Security Measures In Science • Jennifer Tam, Jiri Simsa, Sean Hyde, and Luis von Ahn Breaking Audio CAPTCHAs In Advances in Neural Information Processing Systems( NIPS) • Luis von Ahn , Manuel Blum and John Langford Telling Humans and Computers Apart Automatically In Communications of the ACM • Luisvon Ahn , Manuel blum, Nicholas Hopper, and John Langford CAPTCHA: Using Hard AI Problems for Security In Eurocrypt [...]... VII DEMO TẠO KIỂM TRA MÃ CAPTCHA - Trang web sau đây sử dụng ISP SERVLET để tạo kiểm tra mã CAPTCHA - Trang web bao gồm 4 thành phần: thành phần tạo hình ảnh chứa mã CAPTCHA(CreateCaptcha.jsp), thành phần tạo form nhập cho người dùng(Form.jsp), thành phần đối chiếu mã CAPTCHA (Controlprocess.java), thành phần thông báo khi nhập mã CAPTCHA thành công(Home.jsp) - Thành phần đầu tiên tạo hình... ngữ cũng không an toàn hơn so với các CAPTCHA sử dụng hình ảnh (phần mềm DeCAPTCHA của các nhà nghiên cứu ở đại học Stanford có khả năng nhận dạng thành công 75% audio captcha của eBay) - Những thất bại trong việc tìm kiếm các giải pháp CAPTCHA tiện lợi cho người dùng, khiến chúng ta cần xem xét một cách nghiêm túc việc sử dụng CAPTCHA và tìm kiếm những hướng đi mới Dù các hệ thống trí tuệ nhân tạo. .. cung cấp Phương pháp này có thể được phức tạp hóa bằng cách dùng JavaScript băm dữ liệu Các biện pháp làm rối đó có độ an toàn không quá cao, nhưng chúng ta có thể giả định rằng những máy gửi spam tự động sẽ không đủ tinh vi để nhập đúng thông tin Ngoài ra, có thể dùng JavaScript để tự động điền vào các trường ẩn, sau đó máy chủ sẽ kiểm tra xem có khớp không Việc kiểm tra thêm thời gian dữ liệu... phát hiện ra những lần gửi dữ liệu tự động - Ngoài ra, các phương pháp như đo thời gian nhập thông tin vào mẫu hay soạn thảo bình luận, theo dõi thao tác di chuột gõ phím của người dùng tại máy khách cũng có thể dùng để phân biệt người dùng thực sự với máy móc Tất nhiên, chúng chỉ có thể dùng như những biện pháp bổ trợ chứ không thể là giải pháp chính cho cuộc chiến chống spam - Cuối cùng, có thể... người dùng (những người góp phần tạo nên giá trị của website) không phải là cách tốt nhất Xét từ khía cạnh pháp lý, việc sử dụng CAPTCHA có thể khiến chủ sở hữu website bị người dùng kiện một số nơi đã có quy định về vấn đề này Vì thế, trong Dự án mở về bảo mật ứng dụng web (OWASP) cũng khuyên, nên thận trọng khi quyết định sử dụng CAPTCHA Bên cạnh đó, những giải pháp CAPTCHA sử dụng âm thanh (audio... công(Home.jsp) - Thành phần đầu tiên tạo hình ảnh chứa mã CAPTCHA: • Tạo chuỗi mã gồm 6 ký tự, sử dụng hàm Random, một mảng chứ các ký tự gửi sang Controlprocess.java để xử lý tiếp • Tạo ảnh chứa chuỗi mã vừa tạo - Thành phần thứ 2 là giao diện nhập mã CAPTCHA - Thành phần cuối cùng đối chiếu 2 mã CAPTCHA được gửi từ CreateCaptcha.jsp Form.jsp Nếu thành công thì sẽ chuyển sang trang thông báo thành... nhưng chỉ trong trường hợp hệ thống không thể xác định chắc chắn Các website cũng có thể phát triển hệ thống riêng dựa trên các giải pháp lựa chọn phù hợp - Năm 2007, Phil Haack đề xuất một phương pháp thông minh để phát hiện những máy gửi spam đó là thêm một trường ẩn vào web form Các phần mềm tự động sẽ tương tác với mã HTML gốc chứ không phân tích kết quả của chúng, do đó không phát hiện việc người... nghiên cứu phá vỡ CAPTCHA xuất hiện ngày một nhiều tin tặc thì chủ yếu tập trung khai thác những lỗ hổng trong lôgic ứng dụng thay vì cố gắng nhận dạng tự động, điều này khiến hy vọng việc sử dụng CAPTCHA sẽ thúc đẩy công nghệ nhận dạng trở nên khó khăn Dưới đây là một số gợi ý có thể thay thế cho CAPTCHA: - Sử dụng các giải pháp Akismet, Mollom SBlam! để phân tích dữ liệu do máy khách gửi lên,... những giá trị cũ vẫn được giữ lại lời giải hay mã định danh của CAPTCHA mới được thêm vào phiên HTTP Tin tặc có thể lợi dụng cách làm này để nhận dạng thủ công một hình ảnh CAPTCHA cho một phiên HTTP, sau đó dùng lại lời giải/mã định danh đó cùng với Session ID cho nhiều lần gửi thông tin lên máy chủ - Tấn công bằng cách dùng phần mềm nhận dạng: Không phải giải pháp CAPTCHA nào cũng xử lý đủ tốt... Tuy nhiên, cách làm đó không đảm bảo duy trì dịch vụ liên tục lại quá phức tạp Bên cạnh đó cũng tồn tại một loại hình dịch vụ nhận dạng bằng cách sử dụng lao động giá rẻ ở một số nước châu Á thông qua trang web kolotibablo.com Trang này cung cấp API để khách hàng của họ có thể gửi các hình ảnh CAPTCHA theo thời gian thực cho mình nhận về giá trị do những nhân công giá rẻ này nhận diện Họ cho biết

Ngày đăng: 24/11/2016, 10:39

Từ khóa liên quan

Mục lục

  • 1. Khái niệm về CAPTCHA.

  • CAPTCHA: viết tắt của cụm từ Completely Automated Public Turing test to tell Computers and Humans Apart, là hình ảnh chứa xác nhận bị bóp méo, gây khó nhận biết với máy móc nhưng đơn giản với con người, nhằm giúp phân biệt đối tượng đang truy cập là người hay máy. Những hình ảnh này có thể là kí tự, chữ số, hình ảnh về động vật, biển bảo giao thông, vân vân.

  • 1. The Standard Distorted Word CAPTCHA with an Audio Option(Chuẩn Captch bị bóp méo với một lựa chọn âm thanh): xuất phát từ các công ty CAPTCHA phổ biến trên mạng, reCAPTCHA. Nó khá tin cậy, nhưng một số hình ảnh bị bóp méo hơi khó để giải quyết. Nếu quá khó để nhập đúng mã CAPTCHA thì nó cho phép “reCAPTCHA” để tạo một hình ảnh mới. Hoặc một tùy chọn bằng âm thanh đề phòng trường hợp nhập mã không khả quan.

  • 2. Picture Identification CAPTCHA(Mã CAPTCHA xác thực bằng hình ảnh): loại mã này yêu cầu người dùng lựa chọn hình ảnh sao cho phù hợp với câu hỏi được yêu cầu. Việc xác thực bằng hình ảnh khá dễ dàng so với xác thực bằng “The Standard Distorted Word CAPTCHA with an Audio Option”.

  • 3. Math Solving CAPTCHA(Mã CAPTCHA xử lý toán học): Một hình ảnh chứa một phép toán số học yêu cầu người dùng tính toán và nhập kết quả để xác nhận.

  • 4. 3D CAPTCHA(Mã CAPTCHA 3D): Loại CAPTCHA này rất khó đọc, là kẻ thù của robot. Có một số loại 3D CAPTCHA bao gốm cả hình ảnh và âm thanh. Chúng được gọi là “Super-CAPTCHA”.

  • 5. Ad-injected CAPTCHA(Mã CAPTCHA chèn quảng cáo): Đây là loại mã CAPTCHA đơn giản nhưng có chèn thêm thương hiệu vào cùng với mã CAPTCHA nhằng quảng cáo cho thương hiệu đó.

  • 1. Preventing Comment Spam in Blogs(Ngăn chặn rác trong các trang Blogs thảo luận): Hầu hết các trang Blog đã quen với các chương trình gửi ý kiến không có thực, thường dùng với mục đích nâng cao thứ hạng trên các công cụ tìm kiếm của một số trang web. Nó được gọi là các bình luân rác. Bằng cách sử dụng CAPTCHA, chỉ có con người mới có thể bình luận vào trong một Blog. Không yêu cầu người dùng phải đăng nhập trước khi họ đăng bình luận, và không có bình luận chính đáng nào bị bỏ qua.

  • 2. Protecting Website Registration(Bảo vệ đăng kí Website): Một vài công ty(Yahoo!, Microsoft, vân vân) cung cấp dịch vụ email miễn phí. Một vài năm trước, hầu hết các dịch vụ này phải chịu một loại hình tấn công: “bots” sẽ đăng kí hàng nghìn tài khoản email mỗi phút. Và giải pháp cho vấn đề này là sử dụng CAPTCHA để đảm bảo rằng chỉ có con người mới đăng kí được email. Nói chung, các dịch vụ miễn phí nên được bảo về với một CAPTCHA để ngăn chặn lạm dụng bời kịch bản đăng kí tự động.

  • 3. Protecting Email Addresses From Scrapers(Bảo vệ địa chỉ email khỏi kẻ thu thập): Những kẻ gửi thư giác thu thập địa chỉ email trên các trâng web. CAPTCHA cung cấp một cơ chế hiệu quả để ẩn địa chỉ email của bạn đọc tự Web. Ý tưởng là yêu cầu người dùng nhập mã CAPTCHA trước khi hiển thị địa chỉ email của bạn.

  • 4. Online Polls(Bình chọn trức tuyến): Vào tháng 11 năm 1999, http://www.slashdot.org tổ chức một cuộc bình chọn trực tiếp trường đại học có ngành khoa học máy tính tôt nhất(một câu hỏi nguy hiểm trên web). Giống như các trường hợp bình chọn online, địa chỉ IP của người bình chọn được ghi lại để đảm bảo người bỏ phiếu bỏ nhiều hơn 1 lần. Tuy nhiên, sinh viên đại học Carnegie Mellon(CMU) tìm thấy một cách để nhét phiếu bình chọn sử dụng chương trình bình chọn cho CMU hàng ngàn lần. Điểm CMU tăng nhanh chóng. Ngày hôm sau, học sinh tại MIT lại viết chương trình riêng của họ và cuộc bình chọn đã trở thành cuộc thi giữa 2 “bot”. MIT đã hoàn thành với 21.156 phiếu bầu, CMU với 21.032 phiếu bầu và mỗi trường khác chỉ có ít hơn 1.000 phiếu bầu. Do vậy, sử dụng mã CAPTCHA trong bình chọn trực tuyến giúp giảm hẳn trường hợp phiếu ảo từ “bot”.

  • 5. Preventing Dictionary Attacks(Ngăn chặn tấn công từ điển): CAPTCHA cũng có thể được sử dụng để ngăn chặn cuộc tấn công từ điển trong các hệ thống mật khẩu. Ý tưởng rất đơn giản: ngăn chặn một chương trình có thể tự động điền toàn bộ không gian của mật khẩu bằng cách yêu cầu nó giải quyết một CAPTCHA sau khi đăng nhập một số lần không thành công. Điều này hiệu quả hơn so với các phương pháp khóa tài khoản khi người dùng nhập sai một số lần, hạn chế tình trạng kẻ tấn công có thể khóa tài khoản của nạ nhân theo ý muốn.

  • 6. Search Engine Bots(Công cụ tìm kiếm Bot): CAPTCHA được sử dụng để ngăn chặn việc tìm kiếm một trang web khó hơn, xuất phát từ yêu cầu của chủ trang web.

  • 7. Worms and Spam(Sâu và thư rác): CAPTCHA cũng cung cấp một giải pháp hợp lý đối phó với sâu email và thư rác.

  • 1. Accessibility(Khả năng tiếp cận): CAPTCHA phải được truy cập. CAPTCHA chỉ dựa trên văn bản đọc hoặc các nhiệm vụ trực quan- ngăn chặn người dùng khiếm thị tiếp cận với các nguồn tài nguyên được bảo vệ. Bất kỳ một CAPTCHA nào cũng nên cho phép người khiếm thị có thể xác nhận được mã. Ví dụ như cho phép người dùng lực chọn xác nhận bằng âm thanh.

  • 2. Hình ảnh an ninh: Hình ảnh CAPTCHA của văn bản nên bị bóp méo một cách ngẫu nhiên trước khi được trình bày cho người sử dụng. Nhiều CAPTCHA sử dụng văn bản không bị biến dạng hay văn bản bị bóp méo ít, dễ bị tấn công bỏi các công cụ tự động.

  • 3. Script Secure: Xây dụng mã CAPTCHA an toàn không dễ dàng. Ngoài ra để làm những hình ảnh có thể đọc được bằng máy tính, hệ thống phải đảm bảo rằng không có cách nào dễ dàng xung quanh việc tấn công nó.

  • 4. Security Even After Wide-Spread Adoption: Có rất nhiều CAPTCHA không an toàn khi có nhiều trang web cùng sử dụng chúng. Khi một trang bị vượt qua mã CAPTCHA, thì các trang khác cũng sẽ bị kéo theo. Điều này tạo động lực cho kẻ tấn công cố gắng khai thác lỗ hổng CAPTCHA.

  • 5. Should I make Own CAPTCHA: Tự làm CAPTCHA là một ý tưởng tồi, nó dễ gây ra lỗ hổng và dễ thất bại. Cách tốt nhất là bạn nên sử dụng các dịch vụ được cung cấp sẵn như “re CAPTCHA”.

  • 1. Tấn công máy khách.

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan