Como NO hacer un captcha: El caso de FeriaMix

Hace tiempo publiqué un XSS en FeriaMix, esta vez les mostraré la ineficiencia de un captcha en el mismo sitio. Todos sabemos que el captcha sirve para detectar que realmente es un humano quien está detrás del teclado y no un bot.

Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar máquinas y humanos).

En el sitio “recuperar contraseña” de FeriaMix pueden ver un captcha que aparentemente es “normal”,

pero fijense en un detalle, cuando escriben mal la palabra que aparece en el captcha y le dan al boton “continuar”, salta automaticamente una alerta en javascript diciendo que el captcha no es valido.

Con esto podemos deducir que se hace la validación del captcha antes de que se envie la información al servidor, por lo tanto, es posible vulnerarlo. Si revisamos el codigo javascript encontramos “jcap.js” el cual contiene una validacion demasiado basica e insegura.

Sorpresa! La imagen del captcha que ustedes ven no es autogenerada, sino una imagen con una palabra estatica!

La imagen “71.jpg” tiene la palabra “mine”, la 72 tiene otra palabra y asi hasta la 191.jpg. Si van al directorio de “/jcap/cimg/” podran ver un listado de todas las imagenes del captcha.

De esta forma es tan facil como hacer un bot que se conecte, obtenga el nombre de la imagen y segun el “numero” de imagen, escriba una palabra predeterminada.

Se puede llamar CAPTCHA a esto?

19 comentarios

  1. Es tan penca el sitio que este es el archivo que usaron para modificar. http://www.feriamix.cl/jcap/fuente.html

    Lo bajaron de http://www.archreality.com

    jajajaja

    salU2

  2. Definitivamente no se puede llamar captcha.
    Saludos, muy buena observación 🙂

  3. Esta muy bueno este “usted no lo haga”…
    Ademas es ultimo de rasca subir el archivo “Thumbs.db”.

    eso.

  4. HAHAHAJAHAJAHJAHAJ pero que weones más imbéciles

  5. @Nicolas: muy mal que sigan usando ese tipo de “captcha”, si es que se pueden llamar asi …

  6. Noooo, por desconocimiento, escuchan hablar de “tal” tecnología de seguridad (o les piden “tal” tecnología) y la implementan como les parece (casi siempre MAL) sin investigar una mierda.
    Me ha pasado de toparme con casos similares. Como a un proveedor le pedía protección contra SQL Injection, lo que hizo fue un blacklist que contenía cosas como ‘ or ‘1’=’1… claro a nadie se le puede ocurrir poner ‘ or ‘2’=’2, ‘ or ‘3’<'4…

  7. Por cierto y ya que estamos en tema… me acabo de dar cuenta que este blog no posee captcha en los comentarios!

  8. Zerial

    junio 2, 2011 a las 9:13 am

    hola d3m4s1@d0v1v0!

    Jajaja .. claro que no tiene, pero tampoco hace falta 😛
    Akismet es bastante eficiente como antispam

    saludos

  9. Muy buena tu observacion zerial, ajajaj es cualquier cosa esto, llamarlo captcha seria insulto.

  10. Es casi igual de patético como el test de inteligencia que hace esa pagina…

    @Zerial
    Toda la razón, Akismet es una buena opción, incluso para considerar no poner captcha, al menos en blogs.

    Saludos.

  11. No hace falta hacer un bot que vea el nombre de la imagen, si mandas una peticion con cualquier cosa en lugar del valor del captcha pasa igual

  12. horrible, impresentable para un programador hacer esto

  13. Me encanto esta página. Muy buenos tips para “lo que NO debes al desarrollar y programar una página web”. Saludos!!!!

  14. Me encanto esta página. Muy buenos tips para “lo que NO debes hacer al desarrollar y programar una página web”. Saludos!!!!

  15. Perdón, había borrado una palabra jejeje 🙂

  16. Saludos tengo una Apk de una compañia Hace las Rc v2 & v3 de forma automatica si les interesa o alguien que tenga un metodo de hacer las Recapchas de forma automaticas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.