reCaptcha Super vulnerable

#1 (**permalink**) 27/08/2013, 08:07

Hola compañeros!!

Llevo días en los que un bot maligno no hace otra cosa que joder metiendo comentarios en ingles sin sentido en mi web.

Ya me pasaba antes de poner reCaptcha y por ello fué que lo puse... y depues de 2 meses de tranquilidad...¡Pam! otra vez comentarios maliciosos... Lo primero que pensé es que habia algo mal configurado en mi reCaptcha, pero no, todo ok, parece un problema más grave e interno de Google.

Cosas que hace bien reCaptcha:

Si dejas el casillero reCaptcha vacio, salta la alerta y no inserta el comentario.
Si metes cualquier palabra sin ninguna coincidencia en el casillero... salta la alerta y no inserta el comentario...
Si metes 2 palabras parecidas a las que están en la imagen pero no coinciden... salta la alerta...

Pero probando probando me tope con el siguiente fallo:

En el 80% de los casos que introduzco las dos palabras correctamente (Sin importar mayúsculas de minúsculas) y me dejo la última letra sin poner.... no salta la alerta e inserta el comentario.... es decir... si en la imagen aparece "FoRos DelweB" y yo introduzco "foros delwe", pasa correctamente

¿Alguien puede probar si le ocurre algo parecido?
Por lo tanto... si reCaptcha tiene un fallo tan simple... ¿de cuantos fallos internos estaremos hablando?
Por no repetir que el maldito bot me está metiendo comentarios tontos y yo sin encontrar una solución...
¿Conocéis alguna solución?

he probado en denegar el acceso a la ip del bot con el archivo .htaccess .... pero no espera ni un día a cambiar su ip y vuelve a hacer de las suyas.... Y este es el User agent que utiliza: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0

Bueno espero vuestra ayuda ya que esta tonteria me ha retrasado 3 día el trabajo y etsoy un poco desesperado... Gracias compañeros!!! Ah! Feliz Martes jejeje

#2 (**permalink**) 27/08/2013, 08:16

una solucion temporal , crea un campo de texto extra y lo ocultas con css , ahora si este campo es enviado rellenado a la pagina de validacion , se tratara de un bot .

por lo normal que yo se un bot no puede ver una imagen, como es posible que pase el recaptcha? aunque este tuviera un problema escribiendo alguna palabra mal , no lo entiendo.

#3 (**permalink**) 27/08/2013, 08:35

Eso pensaba yo... pero he leído al respecto y al parecer han creado algoritmos que consiguen superar la seguridad Captcha... Mira esta noticia (Y la he leído en varias fuentes): http://www.somoslibres.org/modules.p...ticle&sid=5004

Sobre la solución temporal... Me da pereza hacerlo ya que hice algo parecido en su día, es decir, puse un input oculto en el form (Type="hidden") y con el value vacío, que si era rellenado, saltaba la alerta e impedía comentar... esta era mi solución de 2 semanas (No me duró nada) antes de poner reCaptcha. De hecho no quería poner reCaptcha porque me "rompía" la estética de la web.... y mira de lo que me ha servido...

De todos modos gracias por tu ayuda y si se te ocurre algo nuevo.... no dudes en decirmelo ¡please!

La única solución que he leído es la de almacenar los Tokens activados... parece que es la solución definitiva... pero mi capacidad de conocimientos me impide llevarlo a cabo... Fuente: http://quepagina.es/security/una-vul...-30-veces.html

A ver si alguien me puede guiar.... saludos!

caricatos · #4 (**permalink**) 27/08/2013, 08:50

Hola:

Nunca usé los reCaptchas porque prefiero crear mis propios sistemas de seguridad. Los más eficientes que he implementado son la de confirmar por email, donde se activa el mensaje cuando recibe una clave por correo electrónico y se usa activando el mensaje, y lo otra es indicando una palabra que tengo coloreada en un párrafo que debe introducirse en el campo de código de seguridad...

Mi próximo sistema (que estoy depurando) es resolviendo un sudoku (simplificado, claro).

Saludos

mandrake88 · #5 (**permalink**) 27/08/2013, 09:05

El reCaptcha dejo de ser fiable hace rato, lo mas simple que podes hacer y que funciona es crear las tipicas Preguntas anti-bot. Creas una lista de varias preguntas con respuestas obvias para un humano, al momento de la registracion mostras una de esas y listo (es probable que cada tanto tendras que ir rotando las preguntas)

Despues tenes algunos scripts ya hechos que utilizan reconocimiento de imagenes, o cosas similares (ej completar un mini puzzle), suelen ser efectivos, nomas tene cuidado de que sea de resolucion obvia para los usuarios, si no vas a perder registraciones

Cita:

Iniciado por caricatos

Hola:
Nunca usé los reCaptchas porque prefiero crear mis propios sistemas de seguridad. Los más eficientes que he implementado son la de confirmar por email, donde se activa el mensaje cuando recibe una clave por correo electrónico y se usa activando el mensaje

Es altamente booteable eso, simplemente es cuestion de parsear el contenido del mail para sacar la clave y usarla para completar el formulario via CURL.
El hecho de que no te entren bots no es por que el sistema sea seguro, si no por que nadie se tomo el trabajo de modificar un bot para tu sistema. Generalmente los bots apuntan a cosas como vbulletin, phpbb, etc donde tenes millones de foros, entonces con 1 bot spamean en todos. Pero si tu sitio es lo suficientemente grande, no tengas dudas que alguien va a codear un bot para el :P

#6 (**permalink**) 27/08/2013, 09:16

Yo pienso que un buen captcha deberia de ser algo realmente dificil de averiguar por un bot , por ejemplo una imagen de un perro y en la misma imagen se muestre la pregunta ¿de que raza es este perro? (es un ejemplo) pero piensenlo , esto seria facil o dificil de averiguar por un bot? , pienso que al bot le seria dificil averiguar la raza del perro , podria saber que hay un perro en la imagen o que se pregunta por una raza , al saber que se pregunta por la raza , podria lanzar opciones al azar ,otra cosa no creo que pueda hacer , como adivinar la raza del perro , lo veo casi imposible

#7 (**permalink**) 27/08/2013, 10:48

Hola amigos! Gracias por sus respuestas!! Muy interesantes, eh!!

La verdad que con expertos como vosotros, es muy difícil aportar algo nuevo. Me encantó la opción de una palabra sombreada en un texto... La opción de Mandrake88 es muy interesante (Preguntas anti-bot) siempre y cuando no sean las típicas de lógica muy simple, es decir, 3+2= ¿?... Porque si el bot empieza introduciendo números del 1 al infinito... con tan solo 5 intentos lo tiene.

La opción de webankinovi es muy buena pero yo le haría unas modificaciones, es decir, en vez de hacer una pregunta tan especifica como la raza exacta de un perro... ya que posiblemente hayan muchas confusiones y el usuario acabe cansándose... yo pondría una imagen boca abajo y preguntaría algo más general, es decir, a la imagen de un perro dado la vuelta preguntaría... ¿De que animal se trata?... ya que si un bot es capaz de saber como es una vaca dada la vuelta... seria cuestión de ir rindiéndose

Creo que si que me voy a decantar por hacer mi propio sistema de seguridad Captcha ya que cualquiera que escoja va a ser apto siempre y cuando no estemos tratando, como ha dicho mandrake88 de una web con millones de usuarios.

Muchísimas gracias!!

#8 (**permalink**) 27/08/2013, 12:25

Bueno amigos.... a ver que os parece esta opción....
Voy a crear el sistema de seguridad, y probando con imágenes se me ha ocurrido poner una textura cualquiera de fondo pero de forma desaturada... y el texto en cuestión de color blanco (¡Y bastante grande!)... la verdad que cuesta un poco leerlo, pero ni la mitad de costoso que la de un captcha convencional... Una vez echas las imágenes, las he puesto a prueba con varias herramientas online de reconocimiento de texto (Ej. http://www.free-ocr.com/)... y ¡Nada! Ninguna a sido capaz de descifrar ni una letra... sin embargo he hecho un pantallazo de algunas imágenes captcha... y aunque es cierto que no reconocía toda la palabra... si que era capaz de reconocer ciertas letras...

Me imagino que el éxito será que tomarán el color blanco como un color de fondo y no una opción de color de texto...

Y si queremos complicarlo un poco más... podemos poner una textura de fondo con palabras pequeñitas.... y la palabra en cuestión en blanco y grande... y exigirle al usuario: "Escribe la palabra en blanco"

Saludos!

#9 (**permalink**) 27/08/2013, 13:20

Bueno respecto a llegar a confundir obviamente tan solo era un era un ejemplo que lo pense en 5 minutos , imaginate con tiempo lo que se podria llegar a hacer , yo optaria por mi propio sistema al igual que @caricatos .

Segun yo lo veo deberia de ser algo donde la respuesta no se encuentre ni en una imagen ni en la pregunta ni opciones para elegir si no que la respuesta sea algo obvio que nada mas que los humanos podamos comprender por ejemplo:

un bot no puede saber viendo una imagen de un tipo tirado con una botella de whisky en una esquina que ese hombre va borracho perdido mientras que un humano lo intuye que seguro que esta borracho o un coche iendo a 180km/h y una señal de fondo prohibido ir a mas de 120km/h un bot no sabra que ese coche rebaso el limite de velocidad mientras que un humano si , son solo ejemplos pero aplicando la misma logica podemos conseguir cosas muy buenas , cosas asi son por las que yo optaria ,.

caricatos · #10 (**permalink**) 29/08/2013, 07:38

Hola:

Cita:

Iniciado por mandrake88

...Es altamente booteable eso, simplemente es cuestion de parsear el contenido del mail para sacar la clave y usarla para completar el formulario via CURL.
El hecho de que no te entren bots no es por que el sistema sea seguro, si no por que nadie se tomo el trabajo de modificar un bot para tu sistema. Generalmente los bots apuntan a cosas como vbulletin, phpbb, etc donde tenes millones de foros, entonces con 1 bot spamean en todos. Pero si tu sitio es lo suficientemente grande, no tengas dudas que alguien va a codear un bot para el :P

Noto la respuesta algo "sobrada"...

Para recibir el mail hay que darlo,... y me parece que no se suele ofrecer ese dato (demostraría vulnerabilidad del mismo robot, en mi opinión)... sacar la clave, sería una asociada a un id, pero los identificadores van variando, y dudo que puedan utilizar tecnología inversa...

En este enlace: Ponga comentarios en su web, explico el sistema... aunque coincido contigo que encontrarán forma de vulnerarlo... espero que tarden su tiempecito mientras preparo alternativas...

Saludos