« XSS уразливість в Google
Місяць багів в Капчах: день двадцять сьомий »

MoBiC-27: internetua.com CAPTCHA bypass

22:56 27.11.2007

Next participant of the project is captcha at internetua.com. Which is using in comments form at the site.

This captcha is vulnerable for session reusing with null captcha bypass method. This Insufficient Anti-automation hole I found 04.11.2007.

Session reusing with null captcha bypass method - it is very tricky method, which is similar to session reusing with constant captcha bypass method. For bypassing you need to send first message with captcha code and then use empty security_code value for every post (during current session). After you’ll see first captcha image, you need to turn off images, so captcha will not be regenerating and you’ll be using empty (null) captcha code many times. By the way, as I retested this hole I found that they made some changes at site, so captcha is bypassing now via session reusing with constant captcha bypass method (using not null, but the same captcha code).

Insufficient Anti-automation:

internetua.com CAPTCHA bypass.html

Guys not overdo with this Captcha bypass test. Not post too much at this site. This exploit for educational purposes only.

Moral: never make such unreliable captchas.


This entry was posted on 22:56 27.11.2007 and is filed under MoBiC. You can follow any responses to this entry through the RSS 2.0 feed.

5 відповідей на “MoBiC-27: internetua.com CAPTCHA bypass”

  1. maxon каже:
    Середа, 00:06 28.11.2007

    а українською текст буде? =)

  2. MustLive каже:
    Середа, 02:16 28.11.2007

    Максон

    Детальна інформація про учасників мого проекту публікується тільки на англійскій мові. Так я робив для проекту Місяць багів в Пошукових Системах, так і роблю для Місяця багів в Капчах.

    На українській мові в мене підсумки кожного дня проекту ;-) .

    До речі. Про дану уразливість в Капчі я повідомив адмінів internetua.com ще на початку цього місяця - як в коментарях на сайті, так і по емайлу (Олександру).

  3. maxon каже:
    Середа, 03:05 28.11.2007

    ага, а ми одразу повідомили про неї програмеру у веб-студії. от тільки виправлення затягується…

  4. MustLive каже:
    Середа, 05:01 28.11.2007

    Так, затягнулося, а виправлення дір на довго не варто відкладати (так що можете ще раз нагадати девелоперам :-) ). Обов’язково виправте цю капчу і слідкуйте за безпекою капч на своїх сайтах та в цілому безпекою усіх своїх сайтів.

    Зазначу, що як я перевірив перед публікацією, в тебе на internetua.com були проведені деякі роботи з капчою - тепер вона вразлива не до session reusing with null captcha bypass method, а до session reusing with constant captcha bypass method (це схожі методи). Тобто цю капчу ще потрібно покращувати.

    До речі, Максон, підскажи мені, ця капча входить до складу вашого движка (MODx), чи є плагіном до нього, чи вона розроблена Studio7. Бо від Олександра я так і не отримав відповіді з цього приводу. Щоб я знав, чи повідомляти мені розробникам движка або плагіна (якщо дірка в капчі розробленій Studio7, то їм ви самі вже повідомили).

  5. MustLive каже:
    Середа, 05:13 28.11.2007

    Також, Максон, зазначу з приводу уразливостей на www.internetua.com, про які я вже писав адмінам сайта.

    Як я написав Олександру ще 16 жовтня, коли він повідомив, що ваші веб-девелопери вже виправили дірки, що одна з дір на internetua.com так і не була повністю виправлена. Але він так і не відповів, й ця уразливість досі має місце на вашому сайті. Як і багато інших уразливостей, про які я ще буду повідомляти.

Leave a Reply

You must be logged in to post a comment.