Мобильная версияКак исправить ошибку уязвимости Captcha в ASP.NET ⇐ C#
-
Anonymous
Как исправить ошибку уязвимости Captcha в ASP.NET
Мы используем капчу (рекапчу) в нашем наследии, вот код капчи на одной из наших страниц ASPX, которая осуществляет регистрацию пользователей с помощью сервисов Synec, Inc
В отчете об уязвимостях говорится, что были обнаружены следующие проблемы: обнаружено во время сканирования.
[*]В приложении реализована слабая схема CAPTCHA, позволяющая отправлять данные с помощью CAPTCHA. [*]Эта CAPTCHA используется для функции отправки регистрации на веб-сайте и не применяется для одноразового использования.
ВЛИЯНИЕ
[*]Отсутствие надлежащей реализации сводит на нет цель схемы CAPTCHA сайтов, позволяя автоматизировать последующие запросы. используя то же значение кода Captcha. [*]Это может привести к тому, что злонамеренный пользователь рассылает на сервер спам с многочисленными запросами и создает расточительные ресурсы/человеко-часы для организацию. [*]В частности, поскольку это указано в регистрационной заявке.
РЕКОМЕНДУЕМОЕ ИСПРАВЛЕНИЕ
Рекомендуется внедрить более надежную CAPTCHA. схему, например Google reCAPTCHA.
[*]Реализуйте правильную логику в предложениях if и else, которая позволит различать действительные и недействительные ответы. [*]Проверьте код CAPTCHA на стороне сервера, не допуская его повторного использования.
Чтобы воссоздать проблему с капчей, был использован инструмент Burp Intercept, который я не могу использовать на своем компьютере
Я немного застрял и не знаю, в каком направлении двигаться, особенно потому, что мы не можем использовать Burp Intercept.
Может кто-нибудь помочь найти правильное направление для устранения этой уязвимости?
Мы используем капчу (рекапчу) в нашем наследии, вот код капчи на одной из наших страниц ASPX, которая осуществляет регистрацию пользователей с помощью сервисов Synec, Inc
В отчете об уязвимостях говорится, что были обнаружены следующие проблемы: обнаружено во время сканирования.
[*]В приложении реализована слабая схема CAPTCHA, позволяющая отправлять данные с помощью CAPTCHA. [*]Эта CAPTCHA используется для функции отправки регистрации на веб-сайте и не применяется для одноразового использования.
ВЛИЯНИЕ
[*]Отсутствие надлежащей реализации сводит на нет цель схемы CAPTCHA сайтов, позволяя автоматизировать последующие запросы. используя то же значение кода Captcha. [*]Это может привести к тому, что злонамеренный пользователь рассылает на сервер спам с многочисленными запросами и создает расточительные ресурсы/человеко-часы для организацию. [*]В частности, поскольку это указано в регистрационной заявке.
РЕКОМЕНДУЕМОЕ ИСПРАВЛЕНИЕ
Рекомендуется внедрить более надежную CAPTCHA. схему, например Google reCAPTCHA.
[*]Реализуйте правильную логику в предложениях if и else, которая позволит различать действительные и недействительные ответы. [*]Проверьте код CAPTCHA на стороне сервера, не допуская его повторного использования.
Чтобы воссоздать проблему с капчей, был использован инструмент Burp Intercept, который я не могу использовать на своем компьютере
Я немного застрял и не знаю, в каком направлении двигаться, особенно потому, что мы не можем использовать Burp Intercept.
Может кто-нибудь помочь найти правильное направление для устранения этой уязвимости?
