Опубликовано 19 февраля, 200818 г Примеры взлома некоторых слабых CAPTCHA-алгоритмов Примеры взлома некоторых распространенных решений приводятся только в целях наглядного доказательства их уязвимости, чтобы те, кто ими пользуется, поскорее заменили их на более защищенные. Для предотвращения использования опубликованных примеров для взлома и спама от посетителя потребуется сначала самому пройти CAPTCHA-тест. Выбор именно форумных CAPTCHA продиктован тем, что они сильно распространены и будут существовать длительное время. Если сломать уникальную CAPTCHA какого-то отдельного сайта (того же mail.ru, к примеру), может статься, что сайт сменит алгоритм и проделанная работа сразу станет неактуальной. _ttp://www.captcha.ru/breakings/
Опубликовано 19 февраля, 200818 г Самое смешное, что все настолько увлеклись этой технологией, что забыли про банальный спуфинг с реферером. И если надо пульнуть пару миллионов писем, то гораздо проще найти уязвимый сайт, чем ожидать реакций пары миллионов человек.
Опубликовано 21 февраля, 200818 г _ttp://subscribe.ru/archive/inet.safety.spamtest/200802/21100650.html Бастион под названием CAPTCHA сдает позиции 19.02.2008 Очередными жертвами взлома системы защиты от автоматической регистрации почтовых аккаунтов CAPTCHA стали почтовые сервисы Windows Live Mail и Gmail. Судя по концептуальному описанию механизма, используемого спамерами для внедрения в данные сервисы, он аналогичен опробованному на Yahoo <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.spamtest.ru/news.html?id=207509088> . На пользовательские ПК скрыто устанавливается программа-исполнитель, которая заходит на нужную страницу Live Mail/Gmail и начинает заполнять форму регистрации почтового аккаунта произвольными данными. Когда дело доходит до теста CAPTCHA, программа пересылает изображение на специальный сервер и получает оттуда его расшифровку. Эксперты, перехватившие подобный сеанс связи <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/urs-molotoff.blogspot.com/2008/02/capcha-google-mail.html> при взломе CAPTCHA на Gmail, установили, что программа-исполнитель "имеет привязку к сайту на русском языке". Механизм расшифровки CAPTCHA пока раскрыть не удалось; его эффективность оценивается примерно в 30-35% (каждый третий результат - положительный). Созданные таким образом почтовые аккаунты активно используются для рассылки спама. Если до февраля спам-фильтры Websense ежедневно блокировали менее 100 аккаунтов Live Mail, то теперь счет идет на тысячи. Использование реальных аккаунтов имеет для спамеров ряд безусловных преимуществ. Во-первых, домены названных почтовых сервисов вряд ли будут занесены в "черные списки". К тому же имена Yahoo, Microsoft и Google обычно внушают доверие получателям электронных писем. Во-вторых, регистрация на этих сервисах бесплатна. И наконец, обнаружить источник спама среди миллионов пользователей сервиса, разбросанных по всему миру, довольно непросто. Источник: Вебпланета <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/webplanet.ru/news/security/2008/02/15/gmail_capcha.html> Источник: WEBSENSE <http://redirect.subscribe.ru/inet.safety.spamtest,26891/20080221100650/n/m4696343/-/www.websense.com/securitylabs/blog/blog.php?BlogID=171>
Опубликовано 21 февраля, 200818 г Механизм расшифровки CAPTCHA пока раскрыть не удалось А удалось :smile5:
Опубликовано 22 февраля, 200818 г А удалось :smile5: Ну тогда надо было эти объявления на китайских форумах публиковать - китайцев много
Для публикации сообщений создайте учётную запись или авторизуйтесь