Od miesiąca wizzair używa systemu recaptcha, zastępując uciążliwe dla użytkownika ograniczenie połączeń z jednego IP na jeszcze bardziej uciążliwe obrazki. Recaptcha jest uważana aktualnie za najlepszy system captcha na rynku. Po analizie okazało się, że captcha jest wyświetlana na podstawie sesji. Parametr w sesji definiowany przy tworzeniu sesji, informuje nasz czy dany adres IP przekroczył już limit i powinien widzieć captcha, czy nie.

W praktyce, jeżeli kilka razy klikniemy wyszukaj z pojedyńczego adresu IP nasz adres zostaje oznaczony jako 'captcha' lub 'niebezpieczny' i zawsze będe widział obrazek, dopóki go nie wpisze. Głębsza analiza nadawania nr sesji ujawniła, że pojedyńczy adres IP jest w stanie wygenerować nieograniczoną ilości sesji (np. 1 tys), przed wysłaniem zapytania do wyszukiwarki. Kluczem jest pobranie sesji przed wysłaniem żądania z wyszukaniem. Nowo wygenerowane numery sesji (slid), nie są oznaczone jako niebezpieczene i do momentu przedawnienia będą działać w procesie wyszukiwania. Slid sesji można pobrać z kilku miejsc na stronie wizzair.

Wyszukiwania zainicjowane z wcześniej wygenerowanych session id pozwalają nam na nieograniczoną liczbę wyszukań z jednego adresu ip (testy przeprowadzone na 1 tys.), aż się skończy pula wcześniej wygenerowanych nr sesji. Każda następna sesja wygenerowana z tego adresu będzie już oczywiście blokowana przez captche. Powoduje to, że osoba z dostępem do kilkudziesięciu adresów IP jest w stanie ominąć recaptcha i wywołać dowolną ilość wyszukiwań w ciągu dnia. Przykład wizzair pokazuje, że nawet najlepsze narzędzie do zabezpieczenia procesu nie jest w stanie nas ochronić bez poprawnej implementacji.

Czytaj też:

25 dziur do załatania w Windows, MS Office i Exchange

Bezpieczeństwo przez izolację

Robak PDF nie wymagający włączenia opcji JavaScript