Des de fa temps s'ha endurit la batalla en contra dels bot que s'encarreguen d'envair als llocs amb spam i intenten burlar la seguretat de cadascuna de les pàgines web. Una de les eines més utilitzada per intentar combatre aquests molestos intrusos són els captcha de Google, Sobretot la versió ReCaptcha V2, pero lamentablemente se ha difundido una vulnerabilidad en esta herramienta que permite resolver las captcha de manera automática.
El següent article netament educatiu, ens permetrà vulnerar la seguretat de ReCaptcha V2, Aprofitant-nos de l'opció d'àudio que la mateixa ofereix. L'article està inspirat en la següent entrada, En la qual s'explica a detall la vulnerabilitat i s'ofereix un script que ens permet solucionar captchas de manera automàtica.
Què és ReBreakCaptcha?
És una aplicació lliure que s'aprofita d'una vulnerabilitat de ReCaptcha V2, per resoldre els captcha de manera automàtica, Per a això utilitza la llibreria d'automatització Seleni, la Api de Reconeixement de Veu de Google i diversos algoritmes.
L'eina és bastant senzilla, passant per tres fases, la primera on resol el popular captcha de «No sóc un robot«, Seguidament quan surt el captcha que s'ha de solucionar, tria l'opció d'àudio, rep l'àudio i el processa amb la Api de Reconeixement de Veu de Google, Finalment ingressa els números que reconeix la Api i l'ingressa en el camp de captcha.
Pot ser que la Api de Reconeixement de Veu de Google falli en reiterades ocasions, de manera que ReBreakCaptcha, Intenta amb diverses alternatives fins que aconsegueix la solució adequada.
Instal·lar i configurar ReBreakCaptcha
Per fer ús de ReBreakCaptcha hem de seguir uns petits passos, ja que l'script original ve pedaç amb rutes per a Windows.
- Primer de tot hem d'instal·lar les dependències necessàries perquè la seqüència funciona:
suo pip install pydub SpeechRecognition selenium
- Seguidament hem clonar el repositori de l'script:
git clone https://github.com/eastee/rebreakcaptcha.git - Ens dirigim a l'escriptori clonat i vam editar la classe, amb els path corresponent per a Linux.
cd rebreakcaptcha nano nano rebreakcaptcha.py
Han de canviar la següent informació
# Firefox / Gecko Driver Related FIREFOX_BIN_PATH = r "C: \ Program Files (x86) \ Mozilla Firefox \ firefox.exe" GECKODRIVER_BIN = r "C: \ geckodriver.exe"
Pel path en Linux
# Firefox / Gecko Driver Related FIREFOX_BIN_PATH = r "/ usr / bin / firefox" GECKODRIVER_BIN = r "/ usr / bin / geckodriver"
De la mateixa manera si fas servir python3, Si us plau reemplaça
xrangeperrange. També hem de modificar l'URL on desitgem aplicar l'script (És a dir la que volem que resolgui el Script).
Ho podem fer a la línia on apareix el següent:
RECAPTCHA_PAGE_URL = "https://www.google.com/recaptcha/api2/demo" - Finalment hem d'executar ReBreakCaptcha, El mateix s'obrirà automàticament el navegador amb la url que se li hagi indicat i realitzarà el procés per resoldre el captcha en qüestió.
python3 rebreakcaptcha.py
Conclusions sobre ReBreakCaptcha
Aquest script pot ser la base per a utilitzar-lo en diversos processos i en python amb simples passos podem millorar-lo. L'ús d'aquesta eina ha de ser per a ús educatiu, a més per a la comunitat en general és important la seva difusió ja que garanteix que aviat tinguem un pegat que solucioni aquesta vulnerabilitat.
La vulnerabilitat està activa fins al moment, per això és recomanable que els usuaris que utilitzen ReCaptcha V2 complementi la seva seguretat amb altres eines, sobretodas la de detecció d'IP que intentin en reiterades ocasions resoldre captchas.