Websecurity - Веб безпека

Next participant of the project is craigslist’s captcha. Craigslist.org is very popular web site and its owners need to use more reliable protection. This is star captcha (because of popularity of the site) and there will be some star captchas in my project.

The captcha at signup page is vulnerable to MustLive CAPTCHA bypass method. This Insufficient Anti-automation hole I found 01.11.2007.

For bypassing you need to use the same captchaID and verificationWord values many times (for every post). This is classic MustLive CAPTCHA bypass method. And put new email into emailAddress field (new email for every post).

Insufficient Anti-automation:

craigslist.org CAPTCHA bypass.html

Guys not overdo with this Captcha bypass test. This exploit for educational purposes only.

Moral: never make such vulnerable captchas.

Month of Bugs in Captchas has started.

The first participant of the project is captcha at learnwpf.com. Captcha bypassing is Insufficient Anti-automation type of vulnerabilities and they are widespread as I’ll show you this month.

This captcha is vulnerable for two methods of bypassing. These Insufficient Anti-automation holes I found 15.10.2007.

1. Guessing from URL bypass method.

This captcha use very simple algorithm for generating text on image - it’s use GET variable for the script. So in content of the page program automatically can find correct answer for captcha.

Image: http://learnwpf.com/Captcha.ashx?txt=3XSWC
Answer: 3XSWC

I find such captchas periodically. It’s very not serious type of captchas.

2. MustLive CAPTCHA bypass method.

I’ll make article about this method. In a word, you can use the same captcha’s code many times. This site use ASP.NET, so you need to bypass (bult-in) CSRF protection also. For this you can use the same __VIEWSTATE and __EVENTVALIDATION values. This is Advanced MustLive CAPTCHA bypass method (when using main method with bypassing additional CSRF protection).

In this case no need for guessing, just use my advanced method to hack this captcha.

Insufficient Anti-automation:

learnwpf.com CAPTCHA bypass.html

Guys not overdo with this Captcha bypass test. Not post too much at this site. This exploit for educational purposes only.

Moral: never make such captchas.

There are a lot of different CAPTCHA in Internet now and many of them are vulnerable. They are not protecting from spam, because a lot of them can be bypassed. Captchas create only illusion of protection. So the time has come to look at real level of Captcha protection from automated activity.

Main purpose of the project:: to demonstrate the real state of Captchas’ security. There are vulnerabilities in Captchas (that mean that their developers insufficiently attend to security) and the community need to know about that. When they are knowing truth, web developers will can make reliable Captchas, and every owner of the site will can select the most reliable Captcha for his web project.

Participants of the project: different Captcha systems, which are using at many sites in Internet. Including built-in captchas and plugins for different engines and CMS.

Rules of the project: participation of Captchas in the project are voluntary. So I voluntarily chose participants for the project . Each day I will publish holes in single Captcha. Also there were planned bonus publications, including articles. And at 1st of December I’ll sum up the project. In the project will be demonstrating vulnerabilities only in Captchas (in their algorithms). Such methods as OCR and using hired people for their filling in will not be considered - only vulnerabilities in Captchas themselves.

Results of the project: improvement of protection from automated posts, improvement of security of Captchas and Internet as a whole.

Зараз в Інтернеті існує чимало різних CAPTCHA і багато з них є вразливими. Вони не захищають від спаму, тому що багатьох з них можна обійти. Капчі створюють лише ілюзію захищеності. Тому настав час подивитися на справжній рівень захисту Капч від автоматизованої активності.

Головна мета проекту: демонстрація реального стану справ з безпекою Капч. В Капчах є уразливості (що говорить про те, що їх розробники недостатньо приділяють увагу безпеці) і громадськість повинна знати про це. Знаючи правду, веб розробники зможуть створити надійні Капчі, а кожен власник сайту зможе вибрати найбільш надійну Капчу для свого веб проекту.

Учасники проекту: різноманітні Captcha системи, що використовується на багатьох сайтах в Інтернеті. В тому числі вбудовані капчі та плагіни для різних движків та CMS.

Правила проекту: участь Капч в проекті добровільна. Тобто я добровільно вибрав учасників для проекту . Щодня будуть публікуватися дірки по окремій Капчі. Також заплановані бонусні публікації, в тому числі статті. А першого грудня я підведу підсумки проекту. В проекті будуть демонструватися лише уразливості в Капчах (в їх алгоритмах). Такі методи як OCR та використання найманих людей для їх заповнення розглядатися не будуть - тільки уразливості в самих Капчах.

Результат проекту: покращення захисту від автоматизованих постів, покращення безпеки Капч та Інтернету в цілому.

The time has come for announcement of my new project - Month of Bugs in Captchas. This project will start next month. So November is a month of bugs in Captchas .

There are a lot of different Captcha systems in Internet and a lot of them are vulnerable. Captchas create only illusion of protection. The purpose of this Month of Bugs is to demonstrate the real state of Captchas’ security, which are using at many web site.

In November 2007 there will be Captchas Apocalypses. A lot of Captchas will be hacked to death. They will die to reborn into new more secure Captchas. The time has come.

Address of the project: http://websecurity.com.ua/category/mobic/

Additional information about the project will be published at the end of this month. November will be the very hot month.

Настав час для анонсу мого нового проекту - Місяця багів в Капчах (Month of Bugs in Captchas). Даний проект відбудеться в наступному місяці. Тому листопад - це місяць багів в Капчах .

В Інтернеті існує чимало різних Captcha систем і багато з них є вразливими. Капчі створюють лише ілюзію захищеності. Метою даного Місяця багів є демонстрація реального стану справ з безпекою Капч, що використовуються на багатьох веб сайтах.

В листопаді 2007 року відбудеться Апокаліпсис для Капч. Чимало Капч будуть захакані до смерті. Вони помруть для того, щоб переродитися в нові більш захищені Капчі. Час прийшов.

Адреса проекту: http://websecurity.com.ua/category/mobic/

Додаткова інформація про проект буде опублікована в кінці поточного місяця. Листопад буде дуже спекотним місяцем.