CI-KP Опубликовано 18 февраля, 2008 Поделиться Опубликовано 18 февраля, 2008 1. Робот заходит на сайт и пытается сделать защищенное каптчей действие 2. Получив сгенерированную каптчу робот регистрирует ее для распознавания на одном из подшефных порносайтов. 3. На порносайт приходит посетитель и с радостью распознает каптчу, чтобы получить возможность бесплатно увидеть “вареник на весь экран” 4. Робот, получив ответ от порносайта - предоставляет его целевому сайту и таким образом проходит защиту. 5. Следует учесть, что посещаемости порносайта хватает для того, чтобы все шаги с 2-го по 4-й выполнить за 1 - 2 минуты, то есть, робот успевает предоставить распознаный текст до обрыва сессии сервером. Конечно, если Ваш ресурс будут ломать с использованием описаного приема, значит ресурс очень ценен. Так как это дорогой прием :) (найдено в комменариях к одной статейки) Источник: vitcom Ссылка на комментарий Поделиться на другие сайты More sharing options...
Роман Опубликовано 18 февраля, 2008 Поделиться Опубликовано 18 февраля, 2008 хитро, молодцы Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 18 февраля, 2008 Поделиться Опубликовано 18 февраля, 2008 хитро, молодцы Hint: надо сохранять время показа капчи в сессии и переставать принимать запросы с кодом уже секунд через 10-15 (или сколько там надо, чтобы ввести 6-8 символов). :smile19: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Deepthroat Опубликовано 18 февраля, 2008 Поделиться Опубликовано 18 февраля, 2008 Не поможет. Дело в том, что сама технология описана немного не правильно. Вот как это происходит на самом деле: 1. Пользователь заходит на порносайт и запускается робот 2. Робот создает соединение с сайтом, защищенным капчей и подставляет капчу пользователю порносайта 3. Пользователь вводит символы, которые робот подставляет защищенному сайту Собственно, все отличие в том, что робот не действует по своей инициативе, его запускает посетитель порносайта. Это снимает проблему, описанную Vinni. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 18 февраля, 2008 Поделиться Опубликовано 18 февраля, 2008 Не поможет. Дело в том, что сама технология описана немного не правильно. Вот как это происходит на самом деле: 1. Пользователь заходит на порносайт и запускается робот 2. Робот создает соединение с сайтом, защищенным капчей и подставляет капчу пользователю порносайта 3. Пользователь вводит символы, которые робот подставляет защищенному сайту Собственно, все отличие в том, что робот не действует по своей инициативе, его запускает посетитель порносайта. Это снимает проблему, описанную Vinni. Увы! :smile2: Тогда надо вмонтировать в картинку еще и сообщение - "Данное изображение предназначено для сайта wwww. Если Вы видите его на другом сайте, знайте - Вас используют спамеры..." :smile1: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Искендер Опубликовано 19 февраля, 2008 Поделиться Опубликовано 19 февраля, 2008 Примеры взлома некоторых слабых CAPTCHA-алгоритмов Примеры взлома некоторых распространенных решений приводятся только в целях наглядного доказательства их уязвимости, чтобы те, кто ими пользуется, поскорее заменили их на более защищенные. Для предотвращения использования опубликованных примеров для взлома и спама от посетителя потребуется сначала самому пройти CAPTCHA-тест. Выбор именно форумных CAPTCHA продиктован тем, что они сильно распространены и будут существовать длительное время. Если сломать уникальную CAPTCHA какого-то отдельного сайта (того же mail.ru, к примеру), может статься, что сайт сменит алгоритм и проделанная работа сразу станет неактуальной. _ttp://www.captcha.ru/breakings/ Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 19 февраля, 2008 Поделиться Опубликовано 19 февраля, 2008 Самое смешное, что все настолько увлеклись этой технологией, что забыли про банальный спуфинг с реферером. И если надо пульнуть пару миллионов писем, то гораздо проще найти уязвимый сайт, чем ожидать реакций пары миллионов человек. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 21 февраля, 2008 Поделиться Опубликовано 21 февраля, 2008 _ttp://subscribe.ru/archive/inet.safety.spamtest/200802/21100650.html Бастион под названием CAPTCHA сдает позиции 19.02.2008 Очередными жертвами взлома системы защиты от автоматической регистрации почтовых аккаунтов CAPTCHA стали почтовые сервисы Windows Live Mail и Gmail. Судя по концептуальному описанию механизма, используемого спамерами для внедрения в данные сервисы, он аналогичен опробованному на Yahoo <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.spamtest.ru/news.html?id=207509088> . На пользовательские ПК скрыто устанавливается программа-исполнитель, которая заходит на нужную страницу Live Mail/Gmail и начинает заполнять форму регистрации почтового аккаунта произвольными данными. Когда дело доходит до теста CAPTCHA, программа пересылает изображение на специальный сервер и получает оттуда его расшифровку. Эксперты, перехватившие подобный сеанс связи <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/urs-molotoff.blogspot.com/2008/02/capcha-google-mail.html> при взломе CAPTCHA на Gmail, установили, что программа-исполнитель "имеет привязку к сайту на русском языке". Механизм расшифровки CAPTCHA пока раскрыть не удалось; его эффективность оценивается примерно в 30-35% (каждый третий результат - положительный). Созданные таким образом почтовые аккаунты активно используются для рассылки спама. Если до февраля спам-фильтры Websense ежедневно блокировали менее 100 аккаунтов Live Mail, то теперь счет идет на тысячи. Использование реальных аккаунтов имеет для спамеров ряд безусловных преимуществ. Во-первых, домены названных почтовых сервисов вряд ли будут занесены в "черные списки". К тому же имена Yahoo, Microsoft и Google обычно внушают доверие получателям электронных писем. Во-вторых, регистрация на этих сервисах бесплатна. И наконец, обнаружить источник спама среди миллионов пользователей сервиса, разбросанных по всему миру, довольно непросто. Источник: Вебпланета <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/webplanet.ru/news/security/2008/02/15/gmail_capcha.html> Источник: WEBSENSE <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.websense.com/securitylabs/blog/blog.php?BlogID=171> Ссылка на комментарий Поделиться на другие сайты More sharing options...
Krendel Опубликовано 21 февраля, 2008 Поделиться Опубликовано 21 февраля, 2008 Механизм расшифровки CAPTCHA пока раскрыть не удалось А удалось :smile5: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 22 февраля, 2008 Поделиться Опубликовано 22 февраля, 2008 А удалось :smile5: Ну тогда надо было эти объявления на китайских форумах публиковать - китайцев много Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.