Hallo Leute
Hab mir ein Konzept bezüglich Bildcaptchas mit AJAX überlegt:
1. Ich erzeuge ein 10-stelliges Captcha aus einem md5-Hash, welcher mit einer Zufallszahl erzeugt wurde
2. Diesen wandeln ich um in ein Bild
3. Das Bild enkodiere ich mit base64, damit es per Ajax verschickt werden kann
4. Zusätzlich bilde ich gleich von der Lösung des Captchas 5 Hashes hintereinander mit verschiedenen Arten wie md4, md5, sha512, sha256 etc d.h. ich hab nachher ein hash vom hash vom hash vom hash vom hash von der Lösung
5. Nun den Checkstring und das base64-Bild in ein JSON und zurück zur Seite
6. Dort das base64 in einem <img> anzeigen und den Check-String in ein data-code="checkstring" schreiben
//Benutzer füllt Formular aus und sendet es wieder per AJAX an den Server (Lösung des Benutzer und Checkstring werden gesendet)
7. Die Lösung des Benutzers wird wieder 5mal in der bestimmten Reihenfolgen gehasht und mit dem Check-String verglichen. Des Weiteren werden alle benutzen Captchas in einer Datenbank abgespeichert. Nun wird noch geschaut, ob das Captcha bereits verwendet wurde, um einen Angriff mit immer dem selben Captcha zu vermeiden.
Da der Angreifer die Reihenfolge der 5 Hashes nicht kennt, kann er aus dem Code, welcher im IMG-Tag steht, die Lösung des Captchas nicht rausbekommen (Regenbogentabellen helfen bei 5fachen Hashes auch nix).
Findet Ihr Sicherheitslücken?
Hab mir ein Konzept bezüglich Bildcaptchas mit AJAX überlegt:
1. Ich erzeuge ein 10-stelliges Captcha aus einem md5-Hash, welcher mit einer Zufallszahl erzeugt wurde
2. Diesen wandeln ich um in ein Bild
3. Das Bild enkodiere ich mit base64, damit es per Ajax verschickt werden kann
4. Zusätzlich bilde ich gleich von der Lösung des Captchas 5 Hashes hintereinander mit verschiedenen Arten wie md4, md5, sha512, sha256 etc d.h. ich hab nachher ein hash vom hash vom hash vom hash vom hash von der Lösung
5. Nun den Checkstring und das base64-Bild in ein JSON und zurück zur Seite
6. Dort das base64 in einem <img> anzeigen und den Check-String in ein data-code="checkstring" schreiben
//Benutzer füllt Formular aus und sendet es wieder per AJAX an den Server (Lösung des Benutzer und Checkstring werden gesendet)
7. Die Lösung des Benutzers wird wieder 5mal in der bestimmten Reihenfolgen gehasht und mit dem Check-String verglichen. Des Weiteren werden alle benutzen Captchas in einer Datenbank abgespeichert. Nun wird noch geschaut, ob das Captcha bereits verwendet wurde, um einen Angriff mit immer dem selben Captcha zu vermeiden.
Da der Angreifer die Reihenfolge der 5 Hashes nicht kennt, kann er aus dem Code, welcher im IMG-Tag steht, die Lösung des Captchas nicht rausbekommen (Regenbogentabellen helfen bei 5fachen Hashes auch nix).
Findet Ihr Sicherheitslücken?
