Captcha-Schutz des Herstellers Lanap lässt sich umgehen
Nach Angaben zweier Sicherheitsspezialisten von Symantec genügt es, den unter ASP.NET eingesetzten ViewState einer Seite erneut zu übertragen, um den Schutz zu umgehen.
Als Betreiber eines Webforums, etwa phpBB, schützt man sich vor der automatischen Anmeldung durch Bots mittels so genannter Captchas. Dabei wird ein Bestätigungstext in einer Weise präsentiert, der zwar von Menschen einfach erkannt wird, an dem sich Computer aber die Zähne ausbeißen sollen. Je nach Qualität dieser Captchas ist es für Bots aber dennoch möglich diese Texte zu erkennen. Im Falle von BotDetect ASP.NET CAPTCHA des Herstellers Lanap muss sich ein Zombie-Rechner aber gar nicht die Mühe machen, die Captchas zu analysieren. Nach Angaben zweier Sicherheitsspezialisten von Symantec genügt es, den unter ASP.NET eingesetzten ViewState einer Seite erneut zu übertragen. Damit ließe sich der Schutz umgehen.
Ursache des Problem sei, dass das Produkt eine zum Captcha dazugehörige UUID und einen Hash im ViewState speichern würde. Zwar sei dieses Fehlverhalten abhängig von der jeweiligen Implementierung, zahlreiche zum Produkt mitgelieferte Beispiele würden aber genau dieses Verhalten an den Tag legen. Betroffen sind alle Versionen vor 1.5.4.0. In der aktuellen Fassung ist der Fehler ausgebügelt.
Siehe dazu auch: (dab)
- Lanap CAPTCHA bypass exposure, Fehleranalyse von Symantec
