Math Captcha 10 dk. da nasıl geçilir?

20.12.2006

Okuyucu : 2.019
Günlük Okuyucu : 3,9

Öncelikle Math Captcha spami engellemek için farklı bir captcha modeli. "10 + 15' in sonucu nedir gir buraya canım" ya da "yirmi bölü on kaç eder" gibi kontrollere dayanıyor.

Aslında math captcha konsepti bayağı bir eski, ilk olarak bir blogda gördüğümde zevk için 10-15 dakikada bunu geçen bir program yazmıştım. Ancak o zamanlar kaale alıp bunu konuyu yazmamıştım ancak şimdi görüyorum ki Math Capctha gerçekten ve hala kullanılıyor. Bu sistemi nasıl kolay geçilebileceğini farkındamısınız? Bir kaç karakter için arama bulduğunuz herşeyi yanyana getirip matematiksel sonucu alın ve kullanın. Tabii ki gene de klasik botların hepsini engelleyecektir ancak siteye özel botlar bunu basitçe geçebilir.

Yorumlar

Bu makalenin yorumlarını RSS ile takip et!

Merhaba,

http://www.cclair.nl/blog/moderncaptcha/demo/

acaba linkteki ornek de gecilebilir mi?

azer koçulu [ # | 22.12.2006 ]

Evet eger limitli sayida firma varsa cok absit sekilde resmin buyuklugu ve firma adi listesi yapilir. Resim cekilir boyutu kontrol edilir ve ilgili firma secilir :) 20 dk :p

Ferruh Mavituna [ # | 22.12.2006 ]

Text tabanli olduktan sonra bu ve buna benzer şeyler özel hazırlanmış botlarla aşılabilir tabii ki,

Ama elinizde 5000 adet portre resmi var diyelim, 2500 tanesi çirkin 2500 tanesi güzel.Hangisi güzelse onu seçin tarzı bir şeyler yaptırsak saldırgan botu için 20 dakika değil de beya bir uğraşmalı :)

Bu meselelerde "machines can analyze everything human can analyze" olayını benimsesemde caydırıcılığında önemli bir faktör olduğunu belirtmeden geçmemek lazım :)

Yns_ [ # | 22.12.2006 ]

Evet hot or not captcha lari bu noktada diger bir ornek ama sorun su madem bir onlem alinacak gercek bir onlem alinmali bugin bir cok resim captcha si bile karakter tanima ile asilabiliyor, o yuzden insanlar kriptografik olarak resim nasil guvenli olabilir diye konusuyorlar.

Ikinci olarak 5000 dosyalik bir sistemi saldirgan 3-5 saatlik bir isle hafif bir surede tamamen elemine edebilir. Bunun icin cesitli yollar ile zombie sistemler kullanildigi biliniyor. Kisa surede 5000 dosyanin da bilinen sonuclari elde edilecektir. Eger ki saldirganini zombie zaten hazirsa kisa ekstra bir efor sarfetmeden sadece ilgili site konfigurasyonunu yapmasi yeterlidir.

Yani eger sistem hazirsa 20dk. da 5000 envanterlik guzel cirkin veri tabani da kirilacaktir.

Ferruh Mavituna [ # | 22.12.2006 ]

Bu arada modern captcha yazılımınının nasıl aşılabileceği üzerine bir şeyler karaladım;
http://yns.zaxaz.com/2006/12/23/exploiting-modern-captcha/

İşin bot yazma kısmını geçelim, kodun kontrol kısmında rezil bir hata var.

Yns_ [ # | 23.12.2006 ]

Bu arada modern captcha yazılımınının nasıl aşılabileceği üzerine bir şeyler karaladım;

Ee bu daha supermis :)

Ferruh Mavituna [ # | 23.12.2006 ]

Yorum Ekle