Опять про CAPTCH'у на сайте по безопасности

Вячеслав

Guest

Это нравится:0 Да/0 Нет

02.10.2008 08:20:51

После "устранения" уязвимости на Вашем сайте по генерации Каптчи, Вы поставили "заплатку". Но, суть не изменилась.

По запросу http://www.securitylab.ru/bitrix/tools/captcha.php?captcha_code=5e7b012259cefa4c5c85984df765d596 выдает одни и те же символы - 44688. При нажатии на F5 символы не меняются. Достаточно в бот прописать запрос 5e7b012259cefa4c5c85984df765d596 и приявязать к символам 44688. Это дыра.

Изменено: Вячеслав - 02.10.2008 12:00:03

cyberX

Guest

Это нравится:0 Да/0 Нет

03.10.2008 06:40:42

Видимо CATCHA генерируется каким-то хитрым образом на определённый промежуток времени. То ли это недочёт, то ли так и должно быть, я так и не понял. Фактически в определённый промежуток времени генерируется одно и то же число как в случае со мной. Единственное что пришло на ум - это для удобства пользователей которым "надоедает" постоянно набирать разные циферки. Другого объяснения я пока что не вижу.

Вячеслав

Guest

Это нравится:0 Да/0 Нет

03.10.2008 06:59:14

В данном случае, каптча не генерится ни каким хитрым образом. Она генерится единовременно и навсегда на период сессии!!!??? а не на определённый промежуток времени. Если сессию зациклить, то стоит один раз законнектится и каптча по сути уже не нужна. Результат генерирования уже известен. И он не меняется. Достаточно результат разместить в бот как значение. Так НЕ ДОЛЖНО БЫТЬ!!! Это уязвимость. И серьёзная. Столько уже говорили об этом.

TeckLord

Guest

Это нравится:0 Да/0 Нет

03.10.2008 10:36:42

Ответ битрикса:

Цитата

Добрый день

Прежде всего, запрос http://www.securitylab.ru/bitrix/tools/captcha.php?captcha_code=5e7b012259cefa4c5c85984df765d596 соответствует прежней схеме работы с CAPTCHA, сейчас же используется другая схема, с параметром captcha_sid.

Во-вторых, Вы можете увидеть, что по запросу
http://www.securitylab.ru/bitrix/tools/captcha.php?captcha_code=5e7b012259cefa4c5c85984df765d596
сейчас отображается другой код, т.е. прямого соответствия хеша и кода капчи нет.

В-третьих, сейчас используется следующая схема: при создании формы каждый раз создается sid и создается код captcha для него.
При нажатии F5 на странице с формой код поменяется
Связка sid и captcha не имеет никакой закономерности. Каждая проверка captcha уничтожает проверяемую связку.

Вячеслав Guest	#5 Это нравится:0 Да/0 Нет 03.10.2008 11:23:56 Странно... так спам-боту не обязательно наличие формы как таковой. Главное, прописать соответствующие параметры взятые из сессии с уже созданным sid и значением sessid и отравить их на обработку, в данном случае на ввод. Хотя Вам решать как лучше сделать...

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?