Искендер Опубликовано 19 февраля, 2008 Поделиться Опубликовано 19 февраля, 2008 Примеры взлома некоторых слабых CAPTCHA-алгоритмов Примеры взлома некоторых распространенных решений приводятся только в целях наглядного доказательства их уязвимости, чтобы те, кто ими пользуется, поскорее заменили их на более защищенные. Для предотвращения использования опубликованных примеров для взлома и спама от посетителя потребуется сначала самому пройти CAPTCHA-тест. Выбор именно форумных CAPTCHA продиктован тем, что они сильно распространены и будут существовать длительное время. Если сломать уникальную CAPTCHA какого-то отдельного сайта (того же mail.ru, к примеру), может статься, что сайт сменит алгоритм и проделанная работа сразу станет неактуальной. _ttp://www.captcha.ru/breakings/ Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 19 февраля, 2008 Поделиться Опубликовано 19 февраля, 2008 Самое смешное, что все настолько увлеклись этой технологией, что забыли про банальный спуфинг с реферером. И если надо пульнуть пару миллионов писем, то гораздо проще найти уязвимый сайт, чем ожидать реакций пары миллионов человек. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 21 февраля, 2008 Поделиться Опубликовано 21 февраля, 2008 _ttp://subscribe.ru/archive/inet.safety.spamtest/200802/21100650.html Бастион под названием CAPTCHA сдает позиции 19.02.2008 Очередными жертвами взлома системы защиты от автоматической регистрации почтовых аккаунтов CAPTCHA стали почтовые сервисы Windows Live Mail и Gmail. Судя по концептуальному описанию механизма, используемого спамерами для внедрения в данные сервисы, он аналогичен опробованному на Yahoo <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.spamtest.ru/news.html?id=207509088> . На пользовательские ПК скрыто устанавливается программа-исполнитель, которая заходит на нужную страницу Live Mail/Gmail и начинает заполнять форму регистрации почтового аккаунта произвольными данными. Когда дело доходит до теста CAPTCHA, программа пересылает изображение на специальный сервер и получает оттуда его расшифровку. Эксперты, перехватившие подобный сеанс связи <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/urs-molotoff.blogspot.com/2008/02/capcha-google-mail.html> при взломе CAPTCHA на Gmail, установили, что программа-исполнитель "имеет привязку к сайту на русском языке". Механизм расшифровки CAPTCHA пока раскрыть не удалось; его эффективность оценивается примерно в 30-35% (каждый третий результат - положительный). Созданные таким образом почтовые аккаунты активно используются для рассылки спама. Если до февраля спам-фильтры Websense ежедневно блокировали менее 100 аккаунтов Live Mail, то теперь счет идет на тысячи. Использование реальных аккаунтов имеет для спамеров ряд безусловных преимуществ. Во-первых, домены названных почтовых сервисов вряд ли будут занесены в "черные списки". К тому же имена Yahoo, Microsoft и Google обычно внушают доверие получателям электронных писем. Во-вторых, регистрация на этих сервисах бесплатна. И наконец, обнаружить источник спама среди миллионов пользователей сервиса, разбросанных по всему миру, довольно непросто. Источник: Вебпланета <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/webplanet.ru/news/security/2008/02/15/gmail_capcha.html> Источник: WEBSENSE <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.websense.com/securitylabs/blog/blog.php?BlogID=171> Ссылка на комментарий Поделиться на другие сайты More sharing options...
Krendel Опубликовано 21 февраля, 2008 Поделиться Опубликовано 21 февраля, 2008 Механизм расшифровки CAPTCHA пока раскрыть не удалось А удалось :smile5: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 22 февраля, 2008 Поделиться Опубликовано 22 февраля, 2008 А удалось :smile5: Ну тогда надо было эти объявления на китайских форумах публиковать - китайцев много Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.