HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

анализ генерации капчи
  #1  
Старый 12.09.2009, 14:34
kusanagi
Познающий
Регистрация: 24.01.2009
Сообщений: 70
С нами: 9103288

Репутация: 5
По умолчанию анализ генерации капчи

уважаемый алл, подскажите куда копать
есть вебсайт. предположительно написан на перле (сабмит идет на страницу pl)
на сайте есть цифровая капча, которая отображается так
хост/limg.pl?t=bLKz2Jkfbyxjt3iiPQ
хеш после каждого сабмита меняется (в случае если капча неправильно введена)
капча отдается клиенту без кук
так фот если взять прямую ссылку на капчу (с текущим хешем из регистрационной формы) и постоянно делать рефреш страницы, то цифры будут все время новые. но при этом если любую из этих меняющихся цифр ввести в форму регистрации то регистрация проходит успешно
(написал наверно сумбурно, если не понятно то могу уточнить)

так вот хотелось бы узнать, можно ли найти решение для обхода капчи. ведь не думаю что на сервере есть таблица с кучей цифр для каждого хеша
 
Ответить с цитированием

  #2  
Старый 12.09.2009, 15:12
mr.The
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,205
С нами: 10016425

Репутация: 1257


По умолчанию

наверняка всё пишется в сессию. или совсем хитрожопо - в базу на сервере пишется ip и браузер.
 
Ответить с цитированием

  #3  
Старый 12.09.2009, 15:17
kusanagi
Познающий
Регистрация: 24.01.2009
Сообщений: 70
С нами: 9103288

Репутация: 5
По умолчанию

Цитата:
Сообщение от mr.The  
наверняка всё пишется в сессию. или совсем хитрожопо - в базу на сервере пишется ip и браузер.
сессия отпадает, потому что куки нигде на данном этапе не передаются
насчет записи ип- насколько я понял алгоритм возможно такой. при каждом запросе записывается ип и рандом число. например 3 запроса от ип и записали 3 разных рандом картинки. если ввели правильно одну картинку из трех для данного ип то значит пускаем дальше.
как по мне геморойно, да и ресурс не из тех чтобы так заморачиваться с защитой. но все же попробую еще вариант с ип
 
Ответить с цитированием

  #4  
Старый 12.09.2009, 15:22
mr.The
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,205
С нами: 10016425

Репутация: 1257


По умолчанию

kusanagi
1 обращение к капче - удаление из базы всех ip+ua таких как у пользователя, и запись новой пары ip+ua+captcha_text

хотя это конечно извращение. капча и так самое уязвимое место для ддоса, а так и подвно
 
Ответить с цитированием

  #5  
Старый 13.09.2009, 10:23
kusanagi
Познающий
Регистрация: 24.01.2009
Сообщений: 70
С нами: 9103288

Репутация: 5
По умолчанию

Цитата:
Сообщение от mr.The  
kusanagi
1 обращение к капче - удаление из базы всех ip+ua таких как у пользователя, и запись новой пары ip+ua+captcha_text

хотя это конечно извращение. капча и так самое уязвимое место для ддоса, а так и подвно

так а почему работает тот факт, если вводить номер какой не отображается в данный момент на капче но он ОТОБРАЖАЛСЯ хоть 1 раз то пропускает
 
Ответить с цитированием

  #6  
Старый 14.09.2009, 19:48
gosuindahouse
Новичок
Регистрация: 04.06.2009
Сообщений: 15
С нами: 8913954

Репутация: 9
По умолчанию

Цитата:
Сообщение от mr.The  
kusanagi
хотя это конечно извращение. капча и так самое уязвимое место для ддоса, а так и подвно
вот я тоже об этом подумал, вряд ли так --
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Регеры ICQ UIN'ов by saiNT sai_NT Skype, IRC, ICQ, Jabber и другие IM 481 17.09.2010 17:58
[ perl ] Спамилка vkontakte с обходом капчи Whirt Покупка, продажа, услуги в Соц. Сетях 14 17.11.2009 06:20
Анализ рынка антивирусной защиты spider-intruder Мировые новости. Обсуждения. 8 10.06.2009 13:25



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.