CloudFlare表示新的HCAPTCHA旁路不会影响其实施

2021-04-06 04:49:57

Web基础架构和网站安全提供商CloudFlare上周告知历史记录,最近的一个学术论文详细说明了一种绕过HCAPTCHA基于图像的挑战系统的方法不会影响其实现。

上个月发表的研究论文来自路易斯安那大学的三个学者,目标HCAPTCHA是CHCAPTCHA,去年在CloudFlare的网站保护系统中取代了谷歌的reCAPTCHA。

在一个名为“对HCAPTCHA系统的低成本攻击的低成本攻击”的纸质中,他们设计了一种使用浏览器自动化工具,图像识别,图像分类器和机器学习算法来下载HCAPTCHA拼图的攻击,确定图像的内容,识别图像的内容,分类图像,然后解决CAPTCHA的挑战。

学者表示,他们的攻击以95.93%的准确率合作,平均约18.76秒,以破解HCAPTCHA挑战。

但是,虽然以前发现了基于机器的基于图像的CAPTCHA解决方案的攻击,但本文的重大突破是,研究团队通过最少的计算资源实现了这一点 - 攻击钻机由运行Ubuntu OS的简单码头容器组成,配置有3核CPU和仅2GB的内存。

此外,研究团队表示,如果他们用谷歌云视觉,亚马逊重新识别和微软Azure认知愿景等最先进的在线视觉vision服务,则攻击可能更快地工作。这可以平均刮掉另一两秒钟。

该研究团队表示,如果在现实世界中实施,这些攻击可能允许威胁演员在实时网站上绕过基于HCAPTCHA图像的谜题,并对网站的基础架构进行自动攻击,例如论坛垃圾邮件,网页刮板等。

研究人员计划在下个月担心2021年关于攻击技术(WOOT)的2021年版研讨会上的攻击,担心一些网站所有者,他们将其作为其CloudFlare网站安全包的一部分。

然而,上周在电话呼叫电话中,在CloudFlare的Research主管周五,尼克沙利文讲述了“HCAPTCHA是CloudFlare用于检测和潜在阻止自动流量的各种方法之一”。有其他系统可以检测自动攻击。

此外,上周伸出评论,HCAPTCHA发言人还表示,该组织了解研究人员的工作,并已实施本文的缓解部门所建议的技术。

然而,HCraptcha还承认,由于几种设计决策,其免费版也不会阻止所有自动攻击。该公司的完整答案如下:

我们已经在“建议的缓解”部分中使用了这项技术,但我们的系统设计不实时泄漏检测。相比之下,通过reCAPTCHA,您可以简单地注册并获得机器人得分,这使得它变得微不足道。这限制了他们测试的免费版本的选项,根据设计,当提交正确答案时,它不会完全阻止所有检测到的自动化传递。相反,它依赖的工具之一是经常改变类别和挑战类型。然而,它还具有“防漏”保护,以避免泄漏这些。因此,我们在阅读本文后对他们的回应是,实际上,在报告的其他细节,抗排水保护正在设计。

HCAPTCHA发言人