
Bonsai is a company involved in providing professional computer information security services. Currently a sound growth company, since its foundation in early 2009 in Buenos Aires, Argentina, we are fully committed to quality service, and focused on our customers’ real needs.
Our areas of expertise are as follows:
- Web Application Penetration Testing
- Penetration Testing
- Code Review
- TCP/IP Stack Testing
- Education
- Research
News and Updates
OWASP Day @ FIUBA Argentina
El día 30 de Junio de 2010 se llevó a cabo el OWASP Day en la sede de Paseo Colón de la Facultad de Ingeniería de la Universidad de Buenos Aires. Se realizaron charlas relacionadas con la Seguridad en Aplicaciones Web y otros aspectos relacionados a la Seguridad de la Información.
Bonsai Information Security participó siendo Sponsor y presentando a Nahuel Grisolía, Project Leader de Bonsai, como ponente en una de las charlas.
Más información sobre el OWASP Day aquí.
A continuación, las Slides que se utilizaron en el evento:
Curso de Seguridad en Aplicaciones Web
El training de Web Application Security de Bonsai se focaliza en el descubrimiento y explotación, manual y automático, de vulnerabilidades en aplicaciones Web. Durante este curso de dos dias, se presentarán una serie de temas teóricos seguidos de prácticas hands-on realizadas por los asistentes. En cada práctica encontrarás vulnerabilidades para explotar, cada una con un diferente nivel de complejidad, las que desafiarán tu comprensión del tema.
Fechas, Ubicación, Cupos y Beneficios
- Consta de dos días completos de 9 a 18 horas. Los días asignados para el próximo training son el Martes 27 y Miércoles 28 de Julio de 2010.
- Se realizará en las aulas multimediales de IT Training Center, Sarmiento 1113, Ciudad Autónoma de Buenos Aires, Capital Federal.
- Al mediodia, los asistentes poseen el beneficio de almorzar en Il’Gato sin cargo.
- Consultar aquellos que deseen un Estacionamiento con precio preferencial.
- Capacidad: 16 asistentes
Más Información
http://www.bonsai-sec.com/es/education/web-security-buenos-aires.phpBreaking Weak CAPTCHA in 26 Lines of Code
During one of our latest engagements we found a weak CAPTCHA implementation being used in the target Web application. The assessment was being performed on-site, and after identifying this vulnerability we started to talk with the CSO about how easy it would be to break it.
The general consensus of course was “very easy”. The problem was that we were unable to find any good CAPTCHA breaking software that average joe could download and run on his computer; so I spent some minutes creating a simple Python script that returns the CAPTCHA solution for this particular implementation.
Before we dig into the script, lets analyze why this CAPTCHA is weak (might not be obvious for some readers):
- The letters are not rotated
- All letters have the same height
- All letters have the exact same color
- The letters are not deformed in any way
- The background noise color is the same for the whole image
Now, lets see the code that breaks this CAPTCHA:
from PIL import Image img = Image.open('input.gif') img = img.convert("RGBA") pixdata = img.load() # Clean the background noise, if color != black, then set to white. for y in xrange(img.size[1]): for x in xrange(img.size[0]): if pixdata[x, y] != (0, 0, 0, 255): pixdata[x, y] = (255, 255, 255, 255) img.save("input-black.gif", "GIF") # Make the image bigger (needed for OCR) im_orig = Image.open('input-black.gif') big = im_orig.resize((116, 56), Image.NEAREST) ext = ".tif" big.save("input-NEAREST" + ext) # Perform OCR using pytesser library from pytesser import * image = Image.open('input-NEAREST.tif') print image_to_string(image)
This simple script works with ~ 90% of the CAPTCHA images created using this specific implementation. Enjoy!