Seohackers netlinking

Captcha : Conversion d’image en PHP

Ecrit par lemoussel le Lundi 2 novembre 2009 à 15:00 - Catégorie Captchas

Une des solutions connues pour outrepasser / bypasser les codes captchas antispam est l’utilisation d’un traitement OCR (Optical Character Recognition = Reconnaissance optique de caractères).

Pour effectuer ce type de traitement, l’image sur laquelle sera effectuée le traitement doit être soit en niveaux de gris ou en monochrome. Cette étape de transformation de l’image est une étape essentielle de tous traitements OCR car la complexité du programme et le temps de calcul s’en trouvent largement réduits.

Pour des raisons de portabilité la plupart des outils d’OCR utilise le format PNM (portable anymap) comme format d’image. L’avantage de ce type de format est de coder l’image dans sa plus simple expression. Le terme « PNM » étant une généralisation regroupant les formats réels PBM (portable bitmap file format – image binaire), PGM (portable graymap file format – image en niveaux de gris) et PPM (portable pixmap file format – image en couleur).

Les fichiers au format PNM se structurent de la même manière et n’introduisent aucune méthode de compression d’image. Les données dans ces fichiers expriment soit la valeur RVB pour le PPM, soit le niveau de gris dans le cas du PGM ou simplement avec des 1 ou 0 pour le PBM.

Par exemple pour le format PBM, qui nous intéresse, la structure est la suivante :

Captcha : Conversion d’image en PHP

Commentaires (18)

Catégorie: Captchas

Pourquoi les captchas basés sur les questions, les calculs ne sont pas fiables ?

Ecrit par admin le Dimanche 30 décembre 2007 à 19:42 - Catégorie Captchas,Outils de spam

Les captchas antispam basés sur les questions et ou les calculs, ne sont pas fiables, ces captchas sont facilement contournables (lisez cet article jusqu’au bout pour comprendre comment contourner ces captchas à tous les coups).

Prenons au hasard :) , l’exemple de Matt Cutts (l’homme antispam de Google) qui utilise un capcha très simple à contourner sur son blog WordPress : http://www.mattcutts.com/blog/.

Son script de captcha est basé sur des opérations de calcul arithmétique, euh pardon, des additions uniquement.
Edition du 14 janvier : En fait, Matt Cutts utilise le plugin pour wordpress : « math comment spam protection », ce plugin est donc vulnérable.

Math comment spam protection

L’exemple de script ci-dessous est basé sur ce plugin qui est utilisé sur le site de Matt Cutts au pied de chaque article.

Voici donc comment bypasser / passer les captchas basés sur des calculs arithmétiques :

Pourquoi les captchas basés sur les questions, les calculs ne sont pas fiables ?

Commentaires (23)

Catégorie: Captchas,Outils de spam

Bypass Captcha : petit tour d’horizon des techniques pour contourner les captchas

Ecrit par admin le Mardi 25 décembre 2007 à 19:38 - Catégorie Captchas,Outils de spam,Sécurité Internet et SEO

Comment outrepasser / bypasser les codes captchas antispam (en dehors des solutions OCR) ?

Le but de passer des captchas est bien sûr le spam de commentaires de blogs, de sites web…, le spam des guestbooks, l’inscription automatique sur des sites web… Il existe 3 façons pour bypasser les codes captchas antispam :

1 – Traitement OCR (Optical Character Recognition) = Reconnaissance optique de caractères.

2 – Faire traiter ces captchas par des internautes à leur insu.

3 – Passer par les failles présentes sur ces captchas (XSS, CSRF, sessions non fermées, captchas en clairs dans code source, captchas encodés en MD5 dans le source, captchas dont les différentes combinaisons sont connues/limitées et donc listables…).

angelina jolie wet shirt I beat the captcha
Plus de photos de Angelina Jolie

Je suis tombé sur plusieurs articles intéressants, le premier est l’article ou plus précisement le script d’un hackeur nommé G-Brain qui propose une solution PHP (utilise les fonctions de la librairie GD) pour bypasser les captchas.

Le script est en téléchargement ici : http://www.g-brain.net/projects/captchapwn/captchapwn_php.txt. Le script n’est pas au point mais prouve que sa méthode fonctionne.

Le second article : http://websecurity.com.ua/category/mobic/ présente une série de failles de sécurité (XSS, CSRF…) permettant de bypasser des captchas couramment utilisés, 32 captchas bypassés au total.

Voici quelques exemples de failles trouvées par cet auteur dont je salue l’excellent travail au passage (Good job man for mobic and moseb ! ;) ) :

Bypass Captcha : petit tour d’horizon des techniques pour contourner les captchas

Commentaires (18)

Catégorie: Captchas,Outils de spam,Sécurité Internet et SEO

Code Captcha antispam : comment les contourner

Ecrit par admin le Vendredi 2 novembre 2007 à 9:06 - Catégorie Captchas,Outils de spam

Pour se protéger des spammeurs, de plus en plus de webmasters ajoutent à leurs formulaires (de contact, de soumission d’articles, de commentaires, d’inscriptions….) un code antispam à recopier. Ce code est la plupart du temps représenté dans une image.

En tant que référenceur/webmaster, on a parfois besoin d’inscrire des sites dans des annuaires de sites web, pour cela on va soit soumettre manuellement nos sites en renseignant le formulaire de soumission (long travail fastidieux quand il est question de renseigner de nombreux annuaires pour y inscrire différents sites).
On peut aussi créer un script qui va le faire automatiquement pour nous, avec l’aide de PHP et Curl, cela est assez simple à faire…
Mais cela ne résoud pas notre souci de code captcha qu’il faudra quand même renseigner à la main ou alors utiliser des logiciels complexe à mettre en oeuvre sur un serveur web comme les programmes de traitement de caractères du type OCR. Il existe un programme développé par HP et mis en open source sur google code, mais il nécessite un serveur dédié.

Il existe une astuce toute bête qui permet de contourner ces protections de formulaires par codes antispam: faire saisir ces codes captcha par vos propres visiteurs.

Comment ?

Là encore tout dépend de l’imagination de chacun, le tout c’est de comprendre le principe.

On a tous des sites web sur lesquels on utilise différents formulaires, on peut alors ajouter un code captcha ou remplacer le code captcha existant, si on en utilise déjà un, par celui du formulaire de soumissions aux annuaires.

Les étapes :

1 – on construit par exemple un formulaire de contact
2 – on récupère le code captcha issus de l’annuaire cible et on l’affiche au bas de notre formulaire de contact
3 – On récupère les variables du formulaire de soumission de l’annuaire cible (nom, mail, catégorie, titre, description…)
4 – On les ajoute en champs cachés au formulaire de contact qui va à la fois nous permettre de recevoir le mail du visiteur et dans le même temps de soumettre le site à l’annuaire cible.

Là j’ai choisi d’utiliser un formulaire de contact mais vous pouvez utiliser n’importe quel formulaire… Ce n’est qu’une question d’imagination.

Autres articles sur les failles de captchas :

Commentaires (18)

Catégorie: Captchas,Outils de spam



SEO BLACKOUT

Site web dédié aux techniques de référencement et de positionnement de sites web sur Google.

Certaines parties du site sont en accès restreint, ces espaces sont réservés à la SEO Black Hat Team.


Don't Be Evil !