Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Como NO hacer un captcha: El caso de FeriaMix" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
Hace tiempo publiqué un XSS en FeriaMix, esta vez les mostraré la ineficiencia de un captcha en el mismo sitio. Todos sabemos que el captcha sirve para detectar que realmente es un humano quien está detrás del teclado y no un bot.
Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar máquinas y humanos).
En el sitio “recuperar contraseña” de FeriaMix pueden ver un captcha que aparentemente es “normal”,
pero fijense en un detalle, cuando escriben mal la palabra que aparece en el captcha y le dan al boton “continuar”, salta automaticamente una alerta en javascript diciendo que el captcha no es valido.
Con esto podemos deducir que se hace la validación del captcha antes de que se envie la información al servidor, por lo tanto, es posible vulnerarlo. Si revisamos el codigo javascript encontramos “jcap.js” el cual contiene una validacion demasiado basica e insegura.
Sorpresa! La imagen del captcha que ustedes ven no es autogenerada, sino una imagen con una palabra estatica!
La imagen “71.jpg” tiene la palabra “mine”, la 72 tiene otra palabra y asi hasta la 191.jpg. Si van al directorio de “/jcap/cimg/” podran ver un listado de todas las imagenes del captcha.
De esta forma es tan facil como hacer un bot que se conecte, obtenga el nombre de la imagen y segun el “numero” de imagen, escriba una palabra predeterminada.
Se puede llamar CAPTCHA a esto?
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Como NO hacer un captcha: El caso de FeriaMix" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
mayo 30, 2011 a las 4:10 pm
Es tan penca el sitio que este es el archivo que usaron para modificar. http://www.feriamix.cl/jcap/fuente.html
Lo bajaron de http://www.archreality.com
jajajaja
salU2
mayo 30, 2011 a las 4:10 pm
Definitivamente no se puede llamar captcha.
Saludos, muy buena observación 🙂
mayo 30, 2011 a las 4:16 pm
Esta muy bueno este “usted no lo haga”…
Ademas es ultimo de rasca subir el archivo “Thumbs.db”.
eso.
mayo 30, 2011 a las 4:50 pm
Aquí más páginas chantas: http://www.google.com/search?q=inurl%3Ajcap%2Fcimg%2F
mayo 30, 2011 a las 11:01 pm
HAHAHAJAHAJAHJAHAJ pero que weones más imbéciles
mayo 31, 2011 a las 4:00 pm
@Nicolas: muy mal que sigan usando ese tipo de “captcha”, si es que se pueden llamar asi …
junio 1, 2011 a las 12:47 pm
Noooo, por desconocimiento, escuchan hablar de “tal” tecnología de seguridad (o les piden “tal” tecnología) y la implementan como les parece (casi siempre MAL) sin investigar una mierda.
Me ha pasado de toparme con casos similares. Como a un proveedor le pedía protección contra SQL Injection, lo que hizo fue un blacklist que contenía cosas como ‘ or ‘1’=’1… claro a nadie se le puede ocurrir poner ‘ or ‘2’=’2, ‘ or ‘3’<'4…
junio 1, 2011 a las 12:49 pm
Por cierto y ya que estamos en tema… me acabo de dar cuenta que este blog no posee captcha en los comentarios!
junio 2, 2011 a las 9:13 am
hola d3m4s1@d0v1v0!
Jajaja .. claro que no tiene, pero tampoco hace falta 😛
Akismet es bastante eficiente como antispam
saludos
junio 8, 2011 a las 11:54 am
Muy buena tu observacion zerial, ajajaj es cualquier cosa esto, llamarlo captcha seria insulto.
junio 9, 2011 a las 3:04 pm
Es casi igual de patético como el test de inteligencia que hace esa pagina…
@Zerial
Toda la razón, Akismet es una buena opción, incluso para considerar no poner captcha, al menos en blogs.
Saludos.
junio 11, 2011 a las 1:33 am
No hace falta hacer un bot que vea el nombre de la imagen, si mandas una peticion con cualquier cosa en lugar del valor del captcha pasa igual
junio 11, 2011 a las 1:35 am
Aca está la web del captcha: http://www.bitdesigner.com/solutions/id/7
junio 18, 2011 a las 4:29 pm
http://www.feriamix.cl/cgi-bin/wspd_cgi.sh/WService=%3Ch1%3E%3CMarquee%3EBOLIVIA/h1%3E%3C/marquee%3E
Saludos from Bolivia
agosto 1, 2011 a las 7:19 pm
horrible, impresentable para un programador hacer esto
febrero 21, 2012 a las 2:19 am
Me encanto esta página. Muy buenos tips para “lo que NO debes al desarrollar y programar una página web”. Saludos!!!!
febrero 21, 2012 a las 2:20 am
Me encanto esta página. Muy buenos tips para “lo que NO debes hacer al desarrollar y programar una página web”. Saludos!!!!
febrero 21, 2012 a las 2:21 am
Perdón, había borrado una palabra jejeje 🙂
abril 7, 2019 a las 9:41 pm
Saludos tengo una Apk de una compañia Hace las Rc v2 & v3 de forma automatica si les interesa o alguien que tenga un metodo de hacer las Recapchas de forma automaticas