Ecrit par admin le Dimanche 30 décembre 2007 à 19:42 - Catégorie Outils de spam, captchas
Les captchas antispam basés sur les questions et ou les calculs, ne sont pas fiables, ces captchas sont facilement contournables (lisez cet article jusqu’au bout pour comprendre comment contourner ces captchas à tous les coups).
Prenons au hasard 
, l’exemple de Matt Cutts (l’homme antispam de Google) qui utilise un capcha très simple à contourner sur son blog Wordpress : http://www.mattcutts.com/blog/.
Son script de captcha est basé sur des opérations de calcul arithmétique, euh pardon, des additions uniquement.
Edition du 14 janvier : En fait, Matt Cutts utilise le plugin pour wordpress : “math comment spam protection”, ce plugin est donc vulnérable.
L’exemple de script ci-dessous est basé sur ce plugin qui est utilisé sur le site de Matt Cutts au pied de chaque article.
Voici donc comment bypasser / passer les captchas basés sur des calculs arithmétiques :
(Lire la suite…)
Catégorie: Outils de spam, captchas
Comment outrepasser / bypasser les codes captchas antispam (en dehors des solutions OCR) ?
Le but de passer des captchas est bien sûr le spam de commentaires de blogs, de sites web…, le spam des guestbooks, l’inscription automatique sur des sites web… Il existe 3 façons pour bypasser les codes captchas antispam :
1 - Traitement OCR (Optical Character Recognition) = Reconnaissance optique de caractères.
2 - Faire traiter ces captchas par des internautes à leur insu.
3 - Passer par les failles présentes sur ces captchas (XSS, CSRF, sessions non fermées, captchas en clairs dans code source, captchas encodés en MD5 dans le source, captchas dont les différentes combinaisons sont connues/limitées et donc listables…).
Je suis tombé sur plusieurs articles intéressants, le premier est l’article ou plus précisement le script d’un hackeur nommé G-Brain qui propose une solution PHP (utilise les fonctions de la librairie GD) pour bypasser les captchas.
Le script est en téléchargement ici : http://g-brain.sesoyo.com/code/captchapwn-php.txt. Le script n’est pas au point mais prouve que sa méthode fonctionne.
Le second article : http://websecurity.com.ua/category/mobic/ présente une série de failles de sécurité (XSS, CSRF…) permettant de bypasser des captchas couramment utilisés, 32 captchas bypassés au total.
Voici quelques exemples de failles trouvées par cet auteur dont je salue l’excellent travail au passage (Good job man for mobic and moseb ! 
) :
(Lire la suite…)
Catégorie: Outils de spam, Sécurité Internet et SEO, captchas
Ecrit par admin le Vendredi 2 novembre 2007 à 9:06 - Catégorie Outils de spam, captchas
Pour se protéger des spammeurs, de plus en plus de webmasters ajoutent à leurs formulaires (de contact, de soumission d’articles, de commentaires, d’inscriptions….) un code antispam à recopier. Ce code est la plupart du temps représenté dans une image.
En tant que référenceur/webmaster, on a parfois besoin d’inscrire des sites dans des annuaires de sites web, pour cela on va soit soumettre manuellement nos sites en renseignant le formulaire de soumission (long travail fastidieux quand il est question de renseigner de nombreux annuaires pour y inscrire différents sites).
On peut aussi créer un script qui va le faire automatiquement pour nous, avec l’aide de PHP et Curl, cela est assez simple à faire…
Mais cela ne résoud pas notre souci de code captcha qu’il faudra quand même renseigner à la main ou alors utiliser des logiciels complexe à mettre en oeuvre sur un serveur web comme les programmes de traitement de caractères du type OCR. Il existe un programme développé par HP et mis en open source sur google code, mais il nécessite un serveur dédié.
Il existe une astuce toute bête qui permet de contourner ces protections de formulaires par codes antispam: faire saisir ces codes captcha par vos propres visiteurs.
Comment ?
Là encore tout dépend de l’imagination de chacun, le tout c’est de comprendre le principe.
On a tous des sites web sur lesquels on utilise différents formulaires, on peut alors ajouter un code captcha ou remplacer le code captcha existant, si on en utilise déjà un, par celui du formulaire de soumissions aux annuaires.
Les étapes :
1 - on construit par exemple un formulaire de contact
2 - on récupère le code captcha issus de l’annuaire cible et on l’affiche au bas de notre formulaire de contact
3 - On récupère les variables du formulaire de soumission de l’annuaire cible (nom, mail, catégorie, titre, description…)
4 - On les ajoute en champs cachés au formulaire de contact qui va à la fois nous permettre de recevoir le mail du visiteur et dans le même temps de soumettre le site à l’annuaire cible.
Là j’ai choisi d’utiliser un formulaire de contact mais vous pouvez utiliser n’importe quel formulaire… Ce n’est qu’une question d’imagination.
Autres articles sur les failles de captchas :
Catégorie: Outils de spam, captchas