Skocz do zawartości

Zabezpieczenie "captcha" precelkow przed automatami


Mion

Rekomendowane odpowiedzi

W odpowiedzi na "Dodawarka do precelkow" postanowiłem utrudnić co niektórym spamerskie praktyki i napisałem system autoryzacji podczas zakładania konta.

Moj "captcha" działa na innej zasadzie niż klasyczne ponieważ ładowany jest za pomocą javascript co powinno skutecznie zabezpieczać przed systemami łamiącymi tego typu zabezpieczenia ;)

IMPLEMENTACJA

Do katalogu gdzie mamy zainstalowany WP należy wgrać plik:

- kod_captcha.js;

- zmienić plik wp-login.php za na przygotowaną przeze mnie wersje z zabezpieczeniem ;

- wgrać katalog cyfry zawierający pojawiające się cyfry captcha w formularzu rejestracji konta;

Tutaj pobierzesz zabezpieczenie

Zabezpieczenie w akcji - demo

To wszystko...

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

  • Odpowiedzi 47
  • Dodano
  • Ostatniej odpowiedzi

30 sekund ;) i złamana może być... błędnie myślisz ;) Wystarczy wysłać dodatkowo POST kod_captha z dowolna liczba i kod_captha2 podac ta sama i mamy rejestracje ;) Widać brak doświadczenia w walce ze spamem na wielką skalę

Odnośnik do komentarza
Udostępnij na innych stronach

Skupiłem się na uniemożliwianiu odczytu kodu z grafiki i zapomniałem o najistotniejszych zagadnieniach.

Doświadczenie to faktycznie nie miałem w tej kwestii ;)

Jednym słowem "dałem ciała" i w związku informuję, że zabezpieczenie w obecnym stanie jest niefunkcjonalne musze zmienić koncepcje...

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Przygotowałemnową wersje captcha opartą na sesji i grafice generowanej przez php.

Osoba rejestrująca konto musi określić płeć postaci występujących na grafice i podać w formularzu autoryzacji.

W tym sposobie program do OCR musi rozpoznać płeć osób losowo pojawiających się na grafice ;)

Kolejne uwagi odnośnie obejścia zabezpieczenie mile widzenie...

Demo-> TUTAJ

Do pobrania -> TUTAJ

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

if($_POST[kod_captha]!= $_POST[kod_captha2] )

{

$errors['captcha_eror'] = __('<strong>BĹÄ„D</strong>: BĹ‚Ä™dny kod z grafiki');

}

To już nie potrzebne. Reszta raczej ok ;)
Odnośnik do komentarza
Udostępnij na innych stronach

W ferworze walki zapomniałem skasować swój bubel. Warto jeszcze dodać, że użytkownik może zdefiniować swoje postacie w programie graficznym i zapisać jako php z ustawioną przezroczystością i zastąpić nimi moje.

Proponuje również zmienić ścieżkę do katalogu z twarzami w zmiennej $katalog_grafik oraz prefixy grafik w pliku moj_captcha.ph.

Dzięki tym zmianą prawie niemożliwe będzie pobranie plików źródłowych grafik w celu ich analizy przez oprogramowanie do OCR :D

Większość znanych captcha opartych na literach została złamana więc swoją koncepcje oparłem na podawaniu płci postaci z obrazka. W przeciwieństwie do człowieka automat nie jest wstanie jej rozpoznać, co powinno stanowić skuteczne zabezpieczenie :D

Implementacja polega na podmianie 2 plików i dodaniu pliki i katalogu obrazków, czyli jest bardzo prosta.

Wiec jestem ciekaw Waszej opinii na ten temat...

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Cześć :D Mam kilka pytań:

1. Po co chcecie zabezpieczać swoje Precelki skoro nie ma do nich dodawarek automatycznych?

2. Dodawarka Pawała nie jest automatem! - To prawda sama rejestruje sie na Presellach ale wpisy dodaje człowiek wchodzi normalnie do presella i dodaje wpis ręcznie... Więc 2 raz po co człowiek ma sie męczyć w pobieranie haseł z poczty i ich zmianę?

3. Dodając takie zabezpieczenie tylko tracicie cenny content który mogli dodać ludzie (głównie pozycjonerzy) korzystający z dodawarki Pawała. Więc 3 raz po co utrudniać sobie i innym życie :D?

Odnośnik do komentarza
Udostępnij na innych stronach

Token moze i nie do złamania, ale ma jedną poważną wadę ........... za długo trzeba się nad nim zastanawiać, jest po prostu wkurzający. Jakbym miał wiecej tak się zastanawiać nad tokenami to dnia by brakło.

Pozdrawiam

Aplikacje internetowe, systemy wspomagające SEO, programy pod Windows i Linux, info na https://shad.net.pl - dopisz się do Katalogu Firm

Odnośnik do komentarza
Udostępnij na innych stronach

@Sylwin - Po co się zabezpieczyć? Głównie żeby znacznie utrudnić zaspamowanie takimi samymi wpisami dodawanymi do wielu precli. Znając życie, jeśli będzie możliwość masowego dodawania do precli z automatu to nie jeden SEO pokemon będzie to robił = SPAM;

Jeśli chcesz dodać wartościowy dla Ciebie i dla mnie artykuł ręczne jego wprowadzenie nie stanowi problemu – do tego nie potrzeba automatu!

@shad – wpisanie 6 literek z dwiema możliwościami wyboru Uważasz za coś uciążliwego!? Na to wystarczy mniej niż 30 sekund :rolleyes: Na wyszukiwanie i kasowanie spamów już 30 sekund Ci nie wystarczy.

@-macgyver- tak, można korzystać dowolnie oraz dowolnie modyfikować moją koncepcję :rolleyes:

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

No to udowodnij - przedstaw dowód a nie samo lakonicznie stwierdzenie...

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

user: spam :rolleyes: dodawarka

Odpalone z mojego serwera i bez problemu założyłem konto :rolleyes: teraz tylko maila pobrać i mam full dostęp

Podpowiedź jak to zrobiłem : aHR0cDovL3ByZWNlbC53aWVteS5ldS93cC1sb2dpbi5waHA/YWN0aW9uPXJlZ2lzdGVy

Dodano:

Kolega zapomniał że ma do czynienia z osobą która zrobiła dodawarkę do katalogów co obchodziła wszystkie zabezpieczenia :rolleyes: Ale tak poważnie mówiąc zabezpieczenie jest bardzo wnerwiające dla ludzi a dla bota i programisty który zna się na programowaniu to około 30 min żeby to obejść ale jak dla mnie może być bo ja dodaję wszystko z automatu jeśli już muszę to robić tak więc mnie to nie drażni

Odnośnik do komentarza
Udostępnij na innych stronach

Ale to jeszcze nie koniec :rolleyes:

Masz o tyle łatwiej, że masz wgląd do kodu...

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności