Captcha. распознание, обход

Discussion in 'Уязвимости' started by GAiN, 23 May 2011.

  1. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,541
    Likes Received:
    168
    Reputations:
    99
    Топик для обсуждения капчи, способов обхода её итд

    P.S. на форуме нет постоянного топика для капчи, пусть будет этот стабильным топиком, чтобы всё в одном месте было =)

    собственно вот вопрос:

    keycaptcha - новый вид капчи, а реально ли ботом пройти её ?
     
  2. Zyon

    Zyon New Member

    Joined:
    24 Feb 2010
    Messages:
    18
    Likes Received:
    4
    Reputations:
    0
    Нихера себе капчта, antigate русскую с трудом согласился разгадывать, а тут...
     
  3. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,599
    Likes Received:
    1,308
    Reputations:
    1,557
    Недостаток подобных капч - конечное число картинок, что позволяет собрать полную базу и обходить капчу с вероятностью 100% (в теории =))

    upd:
    Обход капчи loveplanet.ru (видео)
     
    #3 M_script, 23 May 2011
    Last edited: 23 May 2011
  4. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    607
    Reputations:
    1,101
    Конечно можно. Посмотрев сайт, я увидел, что воспользоваться Charles не получиться, поскольку на сайте поддерживается только SLL соединение.
    Но Tamper Data меня ещё никогда не подводил. Тогда я поставил перехватку данных и принялся распознавать капчу. Оказалось, что без вмешательства сервера, проверка капчи осуществляется на стороне клиента:
    [​IMG]
    Это значит, что возможен механизм обхода капчи,но писать его пока нет смысла,поскольку данный алгоритм пока нигде не используется.
     
    1 person likes this.
  5. Devvver

    Devvver New Member

    Joined:
    27 Apr 2011
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    Мне вот интересно, зачем капча такая на сайте? Я себе на сайт поставил флеш капчу с поворотами картинок - количество комментариев упало в 3 раза.
    А тут какое желание комменты оставлять?
     
  6. Nicholas

    Nicholas New Member

    Joined:
    23 May 2011
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Доброго времени суток, увидел тут обсуждение нашего сервиса, решил откомментировaть все по порядку :)

    Число картинок практически не имеет значения, так как достать картинки из капчи получится только если полностью сэмулировать браузер, включая все JS события и таймеры, а это сильно затратно по ресурсам для любого спам-бота... Картинки все летят в зашифрованном виде, поэтому достать их "напрямую" не получится, можете посмотреть используя вкладочку "сеть" в FireBug на то, какие они "красивые". Плюс у нас существует возможность создавать капчи для своего сайта из своих картинок, пока правда мы переделываем ToS'ы, но в июне снова можно будет оплатить такую услугу.

    +KeyCAPTCHA грузится всегда по https, что убирает возможность использования большинства анонимных прокси

    +KeyCAPTCHA отсеивает не только спамеров, но и троллей, использующих веб-анонимайзеры

    +KeyCAPTCHA в любой момент может задействовать механизм контроля IP посетителя хитрым методом и ГЕО-контроль по странам...
    (это если кто-то попытается сделать что-то типа antigate для KeyCAPTCHA) :)

    +наши сервера собирают постоянно анонимные прокси с многих публичных и закрытых источников, в любой момент, для любого сайта, можно приминить фильтрацию анонимных прокси


    Вы не внимательно смотрели :) Валидация капчи проходит на нашем сервере, никакой информации о правильном решении на клиенте нет. Капча встраивается в веб-форму с помощью перехвата onclick кнопки или ссылки по которой просходит постинг. Когда пользователь нажимает на "отправить" идет запрос на наш сервер для проверки капчи, результатом является строка содержащая подписанные MD5 ответ от нашего сервера для сервера на котором установлена KeyCAPTCHA. Ответ также содрежит флажок (0 или 1) по которому JS определяет надо обновлять капчу или отправить пост на сервер, когда пост прилетает на защищаемый сервер, там происходит проверка MD5 подписей и запрос на KeyCAPTCHA backend о том, действительно-ли капча была собрана правильно :) Так что никакие "вмешивания" в JS ни к чему не приведут, браузер посетителя не отвечает за проверку капчи вообще никак, он только пересылает информацию от нашего сервера на защищаемый веб-сервер, ну и если флажок взведен в 0, то обновляет капчу...


    В этом-то и дело, что вы ставили Flash капчу, а у МНОГИХ пользователей стоит блокировка Flash, основной режим работы нашей капчи это HTML5, Flash используется только в IE и Opera, так как у первого нет HTML5, а у второго не совсем стандартный JS движок, который не понимает некоторых наших "завихрений кода" :)

    Ну и хочется еще отметить что наш сервис, это не просто капчи конкретных видов, это платформа для создания любого интерактива с пользователем, разработать новый вид капчи для нас это 3-4 дня работы вместе с тестированием...

    Ну вот вобщем-то всем ответил....
     
    #6 Nicholas, 25 May 2011
    Last edited: 26 May 2011
    1 person likes this.
  7. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    607
    Reputations:
    1,101
    Nicholas, это не объясняет тот факт, что капча проходит валидацию при физическом отключении интернета.
     
  8. Nicholas

    Nicholas New Member

    Joined:
    23 May 2011
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    :) Всмысле? Как она может пройти валидацию, если я Вам только что объяснил принцип ее работы :)

    А то, что у Вас при отключенном инете появилась зеленая галка, это может быть связано с тем, что Вы один раз ее правильно прошли, но обновления страницы не было (валидаторы например какие-нибудь на форме не пропустили постинг) и в скрытом поле ответа от сервера с uid капчи, осталось старое значение, в котором стоит признак, что она решена верно :) Но поскольку инет вы отрубили, новая капча не подргузилась и не обнулила это поле...

    Решенная верно капча "протухает" на сервере через 6 минут, если со стороны защищаемого веб-сервера не было запроса на ее валидацию по uid.

    После запроса защищаемым веб-сервером капчи по uid она сразу удаляется, так что использовать два раза один ответ от бэк-сервера не получится... При этом каждый ответ содержащий уникальный идентификатор капчи (uid) который подписан приватным ключом защищаемого веб-сервера и не может быть принят другим веб-сервером.

    Алгоритм работы я описал в предыдущем посте.... Повторю еще раз, что веб-браузер клиента не имеет никакой информации о правильно решении и отвечает только за передачу координат подвижных объектов на бэк-сервер KeyCAPTCHA и передачу ответа от бэк-сервера KeyCAPTCHA на защищаемый веб-сервер посредством скрытого поля формы.

    Такой подход позволяет KeyCAPTCHA обновляться при неправильном решении без перезагрузки всей страницы (очень удобно, если на форме много полей) и работать на хостингах, на которых запрещены исходящие соединения, посредством альтернативного метода проверки через скрипт получения времени подписанного приватным ключом (этот режим задействуется, если в настройках сайта, на вкладке "Дополнительные" снять флажок "Разрешить исходящие запросы").

    Всем, кто хочет разобраться или в чем-то сомневается советую посмотреть траффик между серверами и браузером, с помощью любых инструментов, самым распространенным из которых является FireBug вкладочка "сеть". Также можно взглянуть на наш универсальный PHP class, который есть в любом плагине, в нем видно, каким образом проходит валидация капчи на стороне защищаемого веб-сервера.

    PS: в первую очередь при создании KeyCAPTCHA делался упор на безопасность, так что никаких "детских" болезней типа ответов на клиенте и прочих тривиальных методов ее обхода с помощью "манипуляций" с JS не существует "по определению", исходя из описанного мной алгоритма ее работы. Когда клиент ни за что не отвечает, кроме как за отображение и коммуникацию между серверами. При этом вся "коммуникация" подписана приватным ключом защищаемого веб-сервера, который опять-же ни в каком виде не присутствует на клиенте и известен только бэк-серверам KeyCAPTCHA и защищаемому веб-серверу. Единственно чего можно добиться, с помощью JS-манипуляций, это, что покажется зеленая галка, но это никак не относится к прохождению капчи, защищаемый веб-сервер просто не примет поддельный ответ и скажет что капча была собрана не верно :)
     
    #8 Nicholas, 27 May 2011
    Last edited: 27 May 2011
  9. Nicholas

    Nicholas New Member

    Joined:
    23 May 2011
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Проверка капчи осуществляется на стороне сервера, капча вешается на onclick кнопки и перед постом запрашивает бэк-сервер KeyCAPTCHA о правильности решения передав координаты подвижных объектов. Тот отвечает подписанным MD5 ответом на основании секретного ключа сайта.

    На клиенте нет НИКАКОЙ информации о правильном решении капчи. Никакие Tamper Data не помогут.
     
    #10 Nicholas, 31 May 2011
    Last edited: 18 Jul 2011
  10. t3cHn0iD

    t3cHn0iD Banned

    Joined:
    6 Apr 2009
    Messages:
    315
    Likes Received:
    63
    Reputations:
    66
    Сорри за некропост.Смысл в этой капче - тупо расставить паззл по нужным местам, тоесть необязательно, чтобы кусочки примыкали непосредственно к бОльшему, целостному куску, примет даже при наличии некоторого расстояния.

    //Что-то я кэпнул
     
  11. Nifigase

    Nifigase New Member

    Joined:
    31 May 2011
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Я в этом топике ранее уже много и со ссылками отвечал на по поводу программного прохождения. Потёрли всё, (не)заинтересованные люди
    Повторяться не хочется - поиском всё ищется

    C другой стороны, KeyCAPTCHA защищает пару сотен сайтов и нафик она никому не нужна, чтобы спам-ботами заморачиваться.

    Бот - это программа (скрипт).
    В частности, через который я пишу это особщение
    Сам по себе вопрос некорректен

    Спам боты - это не вирусы.
    Они без человека, сами по себе, ничего не делают.

    Если есть желание (интерес, заказ) и спам- бот не может сам зарегистрироваться, то зарегистрируется человек и дальше бот в помощь делать то же самое (постить, заполнять профили).

    Кстати, весёлые картинки привлекают игроманов, которые ради любви к искусству регистрируются

    Это явно не то, что нужно администраторам/модераторам


    А KeyCAPTCHA уменьшает посещаемость в 20 раз

    и увеличивает спам в 10ки раз

    Но суть даже не в этом.
    Это сторонний сервис. И такие сервисы сами себе на уме - устанавливают и меняют правила.
    В случае KeyCAPTCHA то, что заряжается через Ваш ресурс в браузеры посетителей не только не контролируется, но просто не видно хозяину ресурса.
    (идёт напрямую посетителям с бэк-серверов KeyCAPTCHA)

    Вон, например, DownLoad.com настаивает на полном серьёзе, что может вшивать в чужие файлы malware (malvertising) при их загрузке другими. Это его бизнес-модель

    Поэтому, при использовании сторонних сервисов существкнно доверие к и надёжность, вернее репутация) провайдера, а также прозрачность операций.

    Какое может быть доверие к KeyCAPTCHA, если:
    • работает из России, под именем зарегистрированной полгода назад, сменив название, в США компании, а возможные конфликты предлагает разрешать на Сейшелах, это с их сайта, не хочу его раскручивать

      При этом этот расклад уже не раз перетасовывалассылкой
    • на своём сайте предлагает реламодателям все зашищаемые сайты для рекламы, без оговорок, что 2-3% согласны служить платформой рекламы
    • владелец KeyCAPTCHA открытую пишет, бравируя, в интернете, что является профессиональными спамером.
      См. здесь и немного там же
    • в августе 2011 KeyCAPTCHA, с пеной у рта, в десятках обсуждений доказывала, что будет банить ресурсы (вебмастеров), которые pfблокирe.nь рекламу в KeyCAPTCHA (потом якобы отрулила). См., например, здесь


    Геннадий
    бывш. работник KeyCAPTCHA , которого, при получении задолженности по ЗП и увольнительных, взял ОБЭП с переписанными КейКапчей купюрами и по заявлениям KeyCAPTCHA, за вымогательство, а на самом деле за несогласие обманывать пользователей
     
    #12 Nifigase, 10 Dec 2011
    Last edited: 10 Dec 2011
  12. Nicholas

    Nicholas New Member

    Joined:
    23 May 2011
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Защищает более 20к сайтов на данный момент :)

    Ваше умотворчество просто восхищает :D

    Забыли привести сотни ссылок где люди хвалят наш сервис и говорят что он на 100% защищает от ботов и приятен посетителям :)

    Ага!! срочно вырубаем AdSense !!! :D

    Доверие складывается из отзывов пользователей, люди советуют друг другу наш сервис, так как он действительно надежно защищает от спама и удобен для пользователей.

    Есть конечно и те, кому не нравится наша идея, но это скорее исключение...

    Основная масса негатива в сети относительно нашего сервиса ваших рук дело дорогой друг Геннадий :)

    Отвечать Вам здесь больше не собираюсь, бейтесь об стенку головой посильнее, может когда-нить мозги окажутся на стенке :D ;)
     
  13. Nifigase

    Nifigase New Member

    Joined:
    31 May 2011
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Это голословно с обоих сторон.

    И, суть не в том, сколько, кто, кого защищает,
    а в том, что:
    1. приводить цифры, которые невозможно проверить, и бессмысленно и неэтично (плохо попахивает)
    2. Вы на своём сайте предлагаете рекламодателям всю сеть , "защищаемых" сайтов, никак не упоминая, что только небольшой процент согласен пропускать Вашу рекламу
    .


    Соответственно, Вы вводите в заблуждение:
    • и владельцев ресурсов, привлекая их бесплатной безрекламной КейКАПЧА, не информируете о том, что может произойти в случае появления заинтересованного рекламодателя,
    • и рекламодателя, забывая проинформировать о том, что владельцы просто уберут Ваш плагин, когда их начнут использовать, не так, как они ожидали


    В соответствии сопределениями УК, подлгом считается не только, и не столько враньё, сколько опускания информации, в результатом которых пользователи приходят к неправильным выводам (вводятся в заблуждение)
     
    #14 Nifigase, 17 Dec 2011
    Last edited: 17 Dec 2011
  14. usp102

    usp102 New Member

    Joined:
    21 Aug 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Помогите! Как обойти капчу текстого формата 2+2 и тд? Примеров всего штук двадцать. Как сделать чтобы при появлении на экране капча вводилась? Или как то ее остановить. В программировании не шарю.
     
  15. Boolean

    Boolean Elder - Старейшина

    Joined:
    5 Sep 2010
    Messages:
    147
    Likes Received:
    83
    Reputations:
    78
    Слишком толсто, петросян.
     
  16. Breetonia

    Breetonia New Member

    Joined:
    11 Dec 2011
    Messages:
    38
    Likes Received:
    1
    Reputations:
    0
    В России уже ничему не удивишься )).
     
  17. Breetonia

    Breetonia New Member

    Joined:
    11 Dec 2011
    Messages:
    38
    Likes Received:
    1
    Reputations:
    0
    Ух,ты,удивили то охренеть.Из отзывов,которые вы сами клепаете ? ))Может,тогда объясните,зачем существуют,например, сервисы апов тем/рефы на форумах ? Да,потому,что это выгодно.
    «Люди советуют друг другу наш сервис» - Люди многое советуют,да и где гарантия,что это вообще люди,а не ваши спам-дети?
     
  18. Nicholas

    Nicholas New Member

    Joined:
    23 May 2011
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Вы не правильно поняли, я имел ввиду что люди физичеси знакомые друг с другом, или давно знакомые в сети советуют друг другу наш сервис.

    А про отзывы, я имею ввиду отзывы с благодарностями которые постоянно приходят к нам. Самим себе на почту посылать благодарности по-моему это как-то очень странно ;D
     
    #19 Nicholas, 26 Dec 2011
    Last edited: 26 Dec 2011
  19. mirasoft

    mirasoft Banned

    Joined:
    1 Nov 2011
    Messages:
    14
    Likes Received:
    1
    Reputations:
    0
    Добрый вечер форумчанам.
    Вот пытаюсь на PHP написать скрипт для скачивания файлов с depositfiles, до капчи все работало, когда появилась капча научил скрипта авторизироватся, вобщем возможно ли качать файлы передавая депозиту challenge и response уже розгаданой капчи? Ну разумеется его переодично меняя.

    Использую CULR, подскажите приверный алгоритм действий. Зарание благодарен
     
Loading...
Similar Threads - Captcha распознание обход
  1. RedHazard
    Replies:
    4
    Views:
    2,008
  2. Nufai
    Replies:
    1
    Views:
    2,868
  3. palec2006
    Replies:
    1
    Views:
    2,730