Взлом CAPTCHA: надежный Битрикс
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Взлом CAPTCHA: надежный Битрикс - 2007-04-26 11:24:43.373333
|
|
|
ArtAdmin
Сообщений: 11556
Оценки: 14
Присоединился: 2007-01-17 16:55:01.430000
|
Обсуждение статьи "Взлом CAPTCHA: надежный Битрикс"
|
|
|
|
|
Немезис; e-mail: nemesis@nemesis.ru - 2007-04-26 11:24:43.623333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Немезис 4 месяца проверяли и такой примитивной дыры не нашли. Позор.
|
|
|
|
|
Andrew; e-mail: andre2006@km.ru - 2007-04-26 11:24:43.670000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Молодцы, разобрались в алгоритме. Вот еще одна статья на эту тему:
www.securitylab.ru /contest /239642.php , правда старенькая…
|
|
|
|
|
me; e-mail: me@me.me - 2007-04-26 11:24:43.670000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
+1
зачот
|
|
|
|
|
durito; e-mail: durito_@mail.ru - 2007-04-26 11:24:43.686666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
отличная статья
молодца
|
|
|
|
|
speller; e-mail: qwe@qwe.qwe - 2007-04-26 11:24:43.716666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Идея поковырять тюринг на секулабе и мне приходила,
правда, руки не дошли. Вообще позорно, конечно, типо засекуренный сайт (РЕАЛЬНО - не сравнивать с ксакепом) и
такой прокол. У меня есть впечатление, что вся секурность
там строится на IDS и людях,оперативно читающих логи.
|
|
|
|
|
hbreaker; e-mail: hbreaker@mail.ru - 2007-04-26 11:24:43.733333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Поздно, они уже исправили. Теперь в качестве параметра id сессии
http://www.securitylab.ru/bitrix/tools/captcha.php?captcha_sid=1246052979
|
|
|
|
|
mixer; e-mail: mixer@gmail.com - 2007-04-26 11:24:43.763333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Почитал статью, очень понравилась и сам заинтересовался сутью вопроса. При регистрации действительно исправили баг, но на форуме он все еще остался
|
|
|
|
|
SecurityLab; e-mail: support@SecurityLab.ru - 2007-04-26 11:24:43.763333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Несколько вы переоцениваете важность сервиса. Это защита от роботов и не более. Для спама достаточно отправлять сообщения под зарегистрированным пользователем и катчпа при этом будет отключена.
Так что выводы в статье в корне не верные.
|
|
|
|
|
daser; e-mail: daser@....ru - 2007-04-26 11:24:43.796666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
данная фишка была найдена на склабе давно и отправлена Boffin, которая ею не воспользовалась, поэтому ничего нового
|
|
|
|
|
Avent; e-mail: idefensa@gmail.com - 2007-04-26 11:24:43.810000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
насчёт давно не надо ля-ля..
а вот насчёт важности сервиса-а как насчёт регистрации самих пользователей? Ведь там каптча тоже используется. И если сервис не важен, то 1. зачем было просить руководству Битрикса не публиковать статью
2. зачем после её опубликования метод в некоторых местах изменили?
|
|
|
|
|
dgtlscrm; e-mail: dgtlscrm@real.xakep.ru.NO.SPAM - 2007-04-26 11:24:43.843333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
2 Автор: качественный анализ, спасибо. Таблицу брутили?
2 Andrew: Вообще-то в моей работе есть раздел 3.1.1. касающийся данного класса уязвимостей. Но данного рода уязвимости столь специфичны что не могли быть описаны, даже коротко(а поэтому не граммотно), в пределах данной работы.
2 SecurityLab: не надо говорить о в корне не привильных выводах. Так уж сложилось, что мне известно с каким недоверием внедрялась каптча. Это было необходимо и вы это сделали. Думаю администрация портала, в отличие от авторов, не имела время на столь глубокий анализ, потому как аудитория постоянно требует свежей информации, а не внутреннего анализа, о результатах которого никто не узнает :) Более того это сторонний продукт! Помните в форуме была проблема с сессиями-куками? Это ж не Антипов писал его? А битрикс вообще коммерческий продукт… Более того, почему-то мне кажется что внедрение Битрикса на секлаб не случайно, а сделано для того чтобы привлечь специалистов по безопасности к ее изучению.
Все молодцы, сработили на отлично ;)
|
|
|
|
|
Элина; e-mail: milan-mila@yandex.ru - 2007-04-26 11:24:43.890000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Статья на 5+
|
|
|
|
|
BigTarakan; e-mail: tara_kan@mail.ru - 2007-04-26 11:24:43.920000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Статья полезна…ЗАЧОТ
жаль такой алгоритм ко всем подобным системам не применить….
|
|
|
|
|
mamba; e-mail: suxx9x@yandex.ru - 2007-04-26 11:24:43.920000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
да просто любые данные сгенерённые компом, им же могут быть и расшифрованы !
|
|
|
|
|
k0der; e-mail: 1@1.com - 2007-04-26 11:24:43.936666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Хорошая статья
|
|
|
|
|
neko; e-mail: vassya@mail.ru - 2007-04-26 11:24:43.953333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
cool very cool
|
|
|
|
|
kul__; e-mail: voh@inbox--.ru - 2007-04-26 11:24:43.966666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
тупо это них полезного
|
|
|
|
|
PIHEL; e-mail: - 2007-04-26 11:24:43.983333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
я не понимаю, зачем какие либо параметры передавать капче? генерить фразу рэндомом, не принимая внутрь вообще никаких параметров, и будет все ок
|
|
|
|
|
donks; e-mail: donks@donka.com - 2007-04-26 11:24:44
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Horoshaya stateika. Minimum hackinga, maximum logiki
|
|
|
|
|
Admin; e-mail: admin@xakep.ru - 2007-04-26 11:24:44.013333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
koprr ruwrsu s uisu
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2007-04-26 11:24:44.030000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Поставил +
|
|
|
|
|
'; - 2007-05-18 21:53:59.810000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Вы свою то капчу видели? =)
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2007-10-09 15:49:01.250000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Все, что отправлено клиенту, он может использовать.
Параметр captcha_code нужно передавать не в адресе (после ?), а через переменные сессии, чтобы не передавать в браузер.
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2007-11-17 16:52:54.506666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
круто!
вот бы еще капчу icq.com ламануть
там тож от адреса зависит
ток оч длинно
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2007-11-30 14:52:11.853333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
сами бы о себе позаботились, хакеры блин. интернет вообще беззащитен, если на то пошло, так, я реализовал атаку посередине на ваш грёбаный форум:
во первых, программа анализирует картинку, которую я загружаю отдельно отсюда http://www.xakep.ru/common/rateit/captcha.asp?name=0
а код вставляя в другом процессе, загрузившим вашу картинку.
а, во вторых, прекрасно отылает к вам любую чухню, какую я пожелаю :).
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2007-11-30 14:56:26.300000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
0130 :)
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2007-12-20 18:46:07.556666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
eqweqwe
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2008-02-12 22:35:02.636666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
mamba - brain farted. В статье сказано что сгенерить текст можно компом, а прочитать может только человек. Это совершенно разные вещи. Ты можешь любые функции искажений рэндомно применять - это легко запрограмить, а попробуй это расшифровать… Раздел науки - Pattern recognition пока толковых ответов не дает и дает только приблизительные методы со слабой аккуратностью. Думать надо что говоришь!
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2008-02-27 06:04:12.086666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Хе, каптча на мою похожа:
http://hight.fatal.ru/captcha/
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2008-03-19 14:19:13.250000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Уже пофиксили давно…
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2008-06-12 21:06:21.123333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Проще купить распознавания например тут -
http://www.anti-captcha.com/
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2010-04-05 15:02:21.380000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
компания битрикс опустилась до нельзя!!! она в наглую ворует шаблоны с сайта http://www.templatemonster.com и выдает их за свои!!!! о ужас кто порадил это лживое детище рунета! , битрикс Воры!
|
|
|
|
|
RE: Взлом CAPTCHA: надежный Битрикс - 2010-08-18 01:26:47.066666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Это не уязвимость Битрикс, капча легко настраивается в коде, это можно назвать "небрежной" настройкой.
|
|
|
|
|
|
