Formation référencement

Code Captcha antispam : comment les contourner

Ecrit par admin le Vendredi 2 novembre 2007 à 9:06 - Catégorie Captchas,Outils de spam

Pour se protéger des spammeurs, de plus en plus de webmasters ajoutent à leurs formulaires (de contact, de soumission d’articles, de commentaires, d’inscriptions….) un code antispam à recopier. Ce code est la plupart du temps représenté dans une image.

En tant que référenceur/webmaster, on a parfois besoin d’inscrire des sites dans des annuaires de sites web, pour cela on va soit soumettre manuellement nos sites en renseignant le formulaire de soumission (long travail fastidieux quand il est question de renseigner de nombreux annuaires pour y inscrire différents sites).
On peut aussi créer un script qui va le faire automatiquement pour nous, avec l’aide de PHP et Curl, cela est assez simple à faire…
Mais cela ne résoud pas notre souci de code captcha qu’il faudra quand même renseigner à la main ou alors utiliser des logiciels complexe à mettre en oeuvre sur un serveur web comme les programmes de traitement de caractères du type OCR. Il existe un programme développé par HP et mis en open source sur google code, mais il nécessite un serveur dédié.

Il existe une astuce toute bête qui permet de contourner ces protections de formulaires par codes antispam: faire saisir ces codes captcha par vos propres visiteurs.

Comment ?

Là encore tout dépend de l’imagination de chacun, le tout c’est de comprendre le principe.

On a tous des sites web sur lesquels on utilise différents formulaires, on peut alors ajouter un code captcha ou remplacer le code captcha existant, si on en utilise déjà un, par celui du formulaire de soumissions aux annuaires.

Les étapes :

1 – on construit par exemple un formulaire de contact
2 – on récupère le code captcha issus de l’annuaire cible et on l’affiche au bas de notre formulaire de contact
3 – On récupère les variables du formulaire de soumission de l’annuaire cible (nom, mail, catégorie, titre, description…)
4 – On les ajoute en champs cachés au formulaire de contact qui va à la fois nous permettre de recevoir le mail du visiteur et dans le même temps de soumettre le site à l’annuaire cible.

Là j’ai choisi d’utiliser un formulaire de contact mais vous pouvez utiliser n’importe quel formulaire… Ce n’est qu’une question d’imagination.

Autres articles sur les failles de captchas :

Articles liés :

Commentaires (18)

Catégorie: Captchas,Outils de spam


18 Commentaires

Commentaire par Le Portail du Web

Vendredi, 2 novembre , 2007 à 12:04

Héhéhé ! Astucieux de faire bosser les visiteurs à notre place en cachant les champs de formulaire… ;-)

Commentaire par Serval

Vendredi, 2 novembre , 2007 à 18:22

Moi je vous le dit l’auteur de ce site fait preuve d’un vice à toute épreuve pour ce qui est de l’obtention rapide de liens, encore une fois une bonne réflexion pour une astuce assez facile à mettre en place, et à déjouer pour ceux qui savent la mettre en place.
@+

Commentaire par lebosstom

Vendredi, 2 novembre , 2007 à 19:24

mais lol… c’est très malin :)

Commentaire par Misix

Vendredi, 2 novembre , 2007 à 21:16

Personnelement, je préfaire faire un submitter semi automatique ou j’entre moi même le captcha et ou je choisie moi meme la meilleurs cathégorie.

Cependant, beaucoups d’annuaires n’ont pas encore de captcha donc bon…

Commentaire par Acidifié

Samedi, 3 novembre , 2007 à 12:22

Le problème est que les captchas sont associés à des identifiants de session, qui ne sont pas valables très longtemps. Il faut vraiment faire ça « à flux tendu », pour que le captcha soit résolu dans les minutes qui suivent!

Commentaire par lol

Dimanche, 4 novembre , 2007 à 11:43

il suffit donc de verifier dans le code de l’image que le referer provient du meme site et pas d’un autre site et la ta methode serai bloquer.
mais apres tu pourrai ecrire un code qui va chercher le captcha en simulant le referer et qui l’affiche a la personne mais bon…
sinon pour les captcha en texte comme dans dotclear ou c’est ecris combien font 6*2 10-4 etc… tu fais comment toi pour les bypasse?

Commentaire par lol

Dimanche, 4 novembre , 2007 à 13:19

tien c’est marrant mais la methode est utilise contre yahoo:
http://www.zataz.com/news/15517/captcha-spam-sexy-melissa-yahoo.html

Commentaire par admin

Dimanche, 4 novembre , 2007 à 14:00

@ Acidifié, aucun souci de sessions puisque le captcha est appelé au moment de soumettre, regarde par exemple le captcha (tiré de keyworddiscovery) de l’outil suggestion de mots-clé que je récupère à chaque appel de la page : http://www.seoblackout.com/scripts/kw/

@ Lol : pour les captcha en texte, la méthode est la même, tu récupères la question, au lieu de présenter un captcha image, tu présentes la question…
Merci Lol pour le lien Zataz qui est un excellent exemple qui montre que l’application de la méthode ne dépend que de l’imagination de chacun …

Commentaire par lol

Dimanche, 4 novembre , 2007 à 16:13

moi personnelement j’ai une autre methode pour les captchas en texte, si tu prend le code du captcha de dotclear par exemple on voit:
$q = array_keys($GLOBALS['dc_captcha_q']);
$q = md5($q[$GLOBALS['dc_captcha_index']]);
puis  »;
donc pour chaque dc_captcha_q est associe un md5 qui corresepond a la question par exemple Combien font sept moins un ? vu que l’on a le code on peut donc faire un array de md5(question) => reponse, par exemple si dc_captcha_q = 605961bb885b4ef3d1686ca6582bb746 alors la reponse c’est 6 et donc on va pouvoir envoyer la bonne valeur.

Commentaire par Acidifié

Dimanche, 4 novembre , 2007 à 18:31

Ha! Pas bête du tout ;)

Commentaire par Acidifié

Dimanche, 4 novembre , 2007 à 18:32

À quand un site « Gagnez de l’argent en résolvant des captchas! »…

Commentaire par alex de Referencement Blog

Lundi, 5 novembre , 2007 à 2:13

Bonjour Lol,

Je ne connais pas très bien le captcha texte de Dotclear, mais je ne comprends pas très bien en quoi ta solution est merveilleuse, ce qu’il faut c’est surtout un nombre de questions assez important pour que tu ne puisses pas les passer toute en revue.

Commentaire par lol

Lundi, 5 novembre , 2007 à 11:23

oui c’est vrai mais vu que la pluspart des gens qui installent le module captcha ne savent pas changer une ligne de code donc tu prend la liste par defaut et tu peux deja bypasse bcp de captcha et apres a la main tu peux completer un peu par exemple si tu lis le code tu vois que a chaque fois que tu refresh la page tu as une nouvelle question, il ne serai pas impensable de faire un script qui aille chercher meme 1000 fois la meme page pour recuperer le maximum de question generer leur md5 et apres toi a la main tu ecris les reponses alors evidemment c’est saoulant a faire mais plus tu as un gros tableau md5 => reponse, voir meme simplement question => reponse plus tu peux spam

Commentaire par ranks

Lundi, 5 novembre , 2007 à 13:26

Ton article m’a convaincu de tester Tesseract, le logiciel OCR dont tu parles : les résultats sont assez satisfaisant pour des textes clairs sur fond blanc et bien ordonnancés. Par contre, le résutat n’est pas du tout satisfaisant avec les captchas du fait qu’ils sont pas clairs (et même les plus simples ne passent pas…)

Il existe d’autres solutions open-source OCR que je n’ai pas testées, mais je pense que leur efficacité anti captcha sera limitée également. Le combat anti-captcha n’est certes pas perdu, mais à mon avis il doit etre personnalisé au type de captcha auquel tu as affaire, et finalement la méthode la plus simple, fiable, et générale reste l’être humain ;-)

Commentaire par Misix

Mercredi, 14 novembre , 2007 à 8:27

Suffit de faire des catpcha à session de 5minutes et ton système est mort…

Commentaire par admin

Mercredi, 14 novembre , 2007 à 18:29

Si tu parles de l’astuce de l’article Misix, cela n’a rien à voir avec les sessions, on s’en tape des sessions, puisque je récupère le code captcha en tant réel.

Commentaire par Acidifié

Samedi, 19 janvier , 2008 à 19:22

Hum oui, les captchas écrits de travers avec du brouillage derrière sont quasiment indécodables avec ce script…

Commentaire par Parquet Alsace

Jeudi, 12 novembre , 2009 à 11:20

Je me demandais comment industrialiser réellement ce process..

Et la preuve en image (http://r24555.ovh.net/ref_semi_auto.html). Ils ont fait un script qui récupère à partir d’annuaire automatique (utilisable par exemple) qui récupère les captachas pour uniquement valider l’inscription. De ce fait, ils ont les codes + les captchas… saisies par des internautes qui veulent inscrire leur site dans X milles annuaires

Les commentaires sont fermés pour cet article.



SEO BLACKOUT

Site web dédié aux techniques de référencement et de positionnement de sites web sur Google.

Certaines parties du site sont en accès restreint, ces espaces sont réservés à la SEO Black Hat Team.


Don't Be Evil !