CAPTCHAs ไม่มี ไม่ได้แล้ว
Posted by ejeepss on มีนาคม 25th, 2008
หลายคนคงรู้สึกคุ้น ๆ กับภาพทางด้านบน เพียงแต่ว่า คำภายในนั้น อาจแตกต่างกันไป หลายคนคงรู้ถึงจุดประสงค์ ของการใช้งาน แต่อีกหลายท่านยังไม่ทราบ
CAPTCHA นั้นถือเป็นสิ่งที่ Website ควรจะทำการติดตั้ง เพื่อป้องกัน Bot หรือการพยายามเข้าสู่ระบบโดยใช้คอมพิวเตอร์ หรือการโจมตีแบบพยายามเดา (Brute force) เพื่อให้เข้าใจถึงการโจมตีแบบนี้ เราต้องลองเขียน Program โจมตี Website ที่ไม่มีการติดตั้ง CAPTCHA กัน เหมือนกับตำรวจ จะจับโจรได้ ต้องรู้ว่าโจรคิดอย่างไร แล้วทำอย่างไร
Website ที่เราจะลองนั้น ใกล้ตัวมากเอา Blog ที่เรา ๆ เขียนกันอยู่อย่างนี้แหละ หากไม่มีการติดตั้งแล้วจะเกิดอะไร
เริ่มต้น เลือก Website เป้าหมาย ผมเลือก http://ejeepss.thaipki.com (เป็น Blog อีกที เอาไว้ทดสอบ )
อย่าลืมนะครับ ตอนนี้มี พรบ.กระทำความผิดทางคอมพิวเตอร์ออกมาแล้วนะครับ จะหาว่าผมไม่เตือนไม่ได้นะครับ
คลิ๊กขวาครับ เพื่อดู Source ของ HTML ว่ามีการส่ง Parameter อะไรบ้าง ใช้ method อะไรในการส่ง
คราวนี้เขียน PHP เพื่อ Spam หรือโจมตี สัก 1 โปรแกรมครับ
Attack สักหน่อย
ผมทดสอบยิงเพียง 10 ครั้งเท่านั้น (เพื่อทดสอบ) โดยที่ไมไ่ด้รบกวน Session ของ Web มากนัก เรามาดูผลลัพท์ กันก่อนดีกว่าครับ
ดูที่ Mail ก่อนนะครับ เมื่อมีใครมา comment จะมี Mail มาแจ้ง ครับ
ภายใน Thunder Bird
เมื่อเจ้าของ Blog login เข้ามา โอ ทำไม Spam มันเยอะ อย่างนี้ ต้องเสียเวลามานั่งลบ ถ้าคิดตาม ที่ทดสอบให้ดู ยิงเพียง 10 ครั้ง แต่หากยิงทั้งวัน โดยที่ไม่มีใครมาดู Log ย้อนหลัง ก็กินทรัพยากรไปเรื่อย ๆ พื้นที่ก็เหลือน้อยลงไป หรือจงใจยิงให้พื้นที่เต็มก็ทำได้ หากเปิดให้ User ดังกล่าวใช้พื้นที่เต็มที่
สรุปปัญหานี้ส่วนใหญ่เกิดจากค่า Default ครับ ไม่มีการป้องกัน ลงแล้วก็ใช้งาน และก็ไม่ได้ปรับปรุงเพิ่มเติม จึงเป็นเหตุให้เกิดช่องโหว่แบบนี้เกิดขึ้นครับ การโจมตีแบบนี้เห็นโดยทั่วไป สมัยก่อน ส่วนใหญ่ก็โจมตีที่ Webboard ส่วนใหญ่จะเขียน Bot เพื่อไปเขียนกระทู้ต่างๆ หรือตอบกระทู้ต่างๆ ที่ไม่ได้มีการป้องกันในรูปแบบ CAPTCHAs (หากจะโจมตีโดยใช้คนเข้าไปคีย์ทุกกระทู้ คงเหนื่อยไม่เบา)
แล้ว Website Webboard หรือ Blog ที่คุณดูแล หรือเขียน อยู่ล่ะ มีการป้องกันแบบนี้หรือเปล่า หากยัง รีบวิธีการป้องกันนะครับ ก่อนจะสายเกินไป
ปล. ตัวอย่างนี้ เพื่อการเรียนรู้ถึงวิธีการ เพื่อหาวิธีการป้องกันนะครับ หากท่านเป็นผู้ดูแลระบบก็ควรหา Module เกี่ยวกับ CAPTCHAs มาติดตั้งไว้ครับ ก่อนจะสายเกินไป
แนะนำให้ทดสอบในเครื่องตัวเองเท่านั้นนะครับ!!
ขอบพระคุณที่สนใจอ่าน
Reference :
- Wiki :
Source Code:
- Spam_blog.php
- <?php
$ch = curl_init(’http://ejeepss.thaipki.com/wp-comments-post.php’);
curl_setopt ($ch, CURLOPT_POST, 1);
for ($i = 1; $i <= 10; $i++) {
curl_setopt ($ch, CURLOPT_POSTFIELDS,
“author=test_post&email=abc@abc.com&url=www.abc.com” .
“&comment=this_is_post_comment_$i&comment_post_ID=181″);
curl_exec ($ch);
echo “attack $i\n”;
sleep(30);
}
curl_close ($ch);
echo “attack done!\n”;
?>
- <?php