=/= Weak captcha implementation =/=
_ 2009-01-23 10:55:51 _

Captcha je jedna od mnogih tehnika za razlikovanje pravih ljudi od
automatizovanih botova. U vecini slucajeva se pokazuje kao dobra zastita. Ali,
ako vec koristimo ovakvu zastitu onda je i red da je implementiramo na pravi
nacin.

Ovo pisem jer sam svedok lenjosti programera u jednoj velikoj kompaniji koja
sebi ne bi smela da dozvoli tako nesto. Rec je o dva web sajta koji su u
vlasnistvu Microsoft-a, i koji imaju implementiranu Captchu na odredjenim
formama koje se lako mogu zaobici.

U prvom slucaju svaki karakter je posebna slicica, koja ima uvek istu putanju.
Mislim da ne treba ulaziti u detalje kako zaobici ovo. A drugi slucaj je taj da
generisana slika u svojoj putanji ima i enkriptovani parametar koji odredjuje
sadrzaj. Ovde je jedina "olaksavajuca" okolnost ta da linije iza slicice menjaju
svoj polozaj na svaki refresh.

Oba slucaja se mogu zaobici jednostavnim popisom kombinacija, sto za malo
boljeg bota nije nikakav problem. Malo vise detalja o testiranju "Captcha"-e
mozete naci ovde:
http://www.owasp.org/index.php/Testing_for_Captcha_(OWASP-AT-008).