Hola,
Quizas el problema este en el otro codigo, el que comprueba que el valor introducido en el formulario corresponde con el de la imagen. O en el formulario que pide los datos, que da mas informacion de la debida.
Por cierto, ¿vulnerable por que es inseguro, o por que se puede pasar sin problemas?
Espera, acabo de hacer una prueba. Crea una pagina en local con este codigo
Código HTML:
<!doctype html public "-//W3C//DTD HTML 4.0 //EN">
<html>
<head>
<title>Title here!</title>
</head>
<body>
<!-- the secret image -->
<img src='http://horobey.com/demos/codegen/v2/humancheck_showcode.php?sid=8631125607bb94b0a7703b86445eeac6'>
<!-- the form -->
<form action='http://horobey.com/demos/codegen/v2/humancheck_check.php' method='post'>
<input type='hidden' name='sid' value='8631125607bb94b0a7703b86445eeac6'>
<input type='text' name='code'>
<input type='Submit' name='Submit'>
</form>
</body>
</html> En el parametro sid del img cambia algun caracter (siempre que sea valido). Pon el mismo en el campo oculto. Ejecuta la pagina y no pongas nada en el campo text.
A mi me sale
Cita: Code is OK you are allowd to see my page.
From here you can redirect visitor, or allow him to download something or insert registration data to the database. etc.
¿Por que? Parece que si le pasas un id de sesion inexistente te crea una con un valor de codigo de cadena vacia. Solo con poner en sid valores de sesiones no existentes ya vale para que un soft automatico se lo salte.
Saludos.
PD: Supongo que añadiendo condiciones de que la longitud de la contraseña no puede ser 0, o que en el codigo que genera la imagen si no existe la sesion que genere un nuevo codigo, podria solucionarse.