Hace tiempo publiqué un XSS en FeriaMix, esta vez les mostraré la ineficiencia de un captcha en el mismo sitio. Todos sabemos que el captcha sirve para detectar que realmente es un humano quien está detrás del teclado y no un bot.
Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar máquinas y humanos).
En el sitio "recuperar contraseña" de FeriaMix pueden ver un captcha que aparentemente es "normal",
pero fijense en un detalle, cuando escriben mal la palabra que aparece en el captcha y le dan al boton "continuar", salta automaticamente una alerta en javascript diciendo que el captcha no es valido.
Con esto podemos deducir que se hace la validación del captcha antes de que se envie la información al servidor, por lo tanto, es posible vulnerarlo. Si revisamos el codigo javascript encontramos "jcap.js" el cual contiene una validacion demasiado basica e insegura.
Sorpresa! La imagen del captcha que ustedes ven no es autogenerada, sino una imagen con una palabra estatica!
La imagen "71.jpg" tiene la palabra "mine", la 72 tiene otra palabra y asi hasta la 191.jpg. Si van al directorio de "/jcap/cimg/" podran ver un listado de todas las imagenes del captcha.
De esta forma es tan facil como hacer un bot que se conecte, obtenga el nombre de la imagen y segun el "numero" de imagen, escriba una palabra predeterminada.
Se puede llamar CAPTCHA a esto?
Lo bajaron de http://www.archreality.com
jajajaja
salU2
Saludos, muy buena observación :)
Ademas es ultimo de rasca subir el archivo "Thumbs.db".
eso.
Me ha pasado de toparme con casos similares. Como a un proveedor le pedía protección contra SQL Injection, lo que hizo fue un blacklist que contenía cosas como ' or '1'='1... claro a nadie se le puede ocurrir poner ' or '2'='2, ' or '3'<'4...
@Zerial
Toda la razón, Akismet es una buena opción, incluso para considerar no poner captcha, al menos en blogs.
Saludos.
Saludos from Bolivia