Полювання на Капчі

23:14 14.11.2007

Розглянемо методи пошуку вразливих капч. Головним іструментом є Гугл хакінг - пошук уразливостей на сайтах за домогою Гугла (даний підхід можна використовувати і з іншими пошуковими системами). Коли виявлена вразлива капча, то хороші хлопці (з метою повідомлення про наявність уразливостей) та погані хлопці (з метою використання цих уразливостей) можуть за допомогою пошукових систем знайти сайти з даною вразливою капчою. Тому розглянемо шляхи використання Гугл хакінга для пошуку сайтів з уразливими капчами різних типів: текстових, логічних та графічних.

Пошук вразливих текстових капч.

У випадку текстових капч їх можна шукати по тексту, котрий є поряд з капчами (через Google Search).

“into the textbox below” - до 71000 результатів.

Враховуючи, що різні капчі можуть використовувати однакові або схожі текстові фрази, буде не просто знайти конкретну вразливу капчу. Для точніших результатів потрібно уточнювати пошукову фразу.

Протидія: для протидії даному методу варто змінювати стандартні фрази капч, тоді ваш сайт буде важче знайти через наявність вразливої капчи. Але краще використовувати надійні капчі.

Пошук вразливих логічних капч.

У випадку логічних капч їх можна шукати по тексту, котрий є поряд з капчами (через Google Search).

“Check this box if you are not a spammer” - до 12500 результатів.

Враховуючи, що різні капчі можуть використовувати однакові або схожі текстові фрази, буде не просто знайти конкретну вразливу капчу. Для точніших результатів потрібно уточнювати пошукову фразу.

Протидія: для протидії даному методу варто змінювати стандартні фрази капч, тоді ваш сайт буде важче знайти через наявність вразливої капчи. Але краще використовувати надійні капчі.

Пошук вразливих графічних капч.

У випадку графічних капч для пошуку сайтів з уразливими капчами існує два підходи.

1. Можна шукати по тексту, котрий є поряд з капчами (через Google Search).

“Please enter the numbers you see below” - до 39500 результатів.

Даний варіант є не дуже точним, тому що різні капчі можуть використовувати однакові або схожі текстові фрази. Тому буде не просто знайти конкретну вразливу капчу (але можна шукати різні, щоб знайти капчі зі схожими вразливостями).

Протидія: для протидії даному методу варто змінювати стандартні фрази капч, тоді ваш сайт буде важче знайти через наявність вразливої капчи. Але краще зовсім не використовувати вразливих капч.

2. Можна шукати по їх зображенню (через Google Image Search).

Розглянемо на прикладі капчі mt-scode:

mt-scode.cgi - до 3340 результатів.

inurl:mt-scode.cgi - до 3270 результатів.

Даний варіант є більш точним, тому що дозволяє шукати конкретну вразливу капчу.

Протидія: для протидії даному методу варто змінювати імена файлів капч, тоді ваш сайт буде важче знайти через наявність вразливої капчи. Але краще зовсім не використовувати вразливих капч.


Leave a Reply

You must be logged in to post a comment.