Bots umgehen Sicherheitscode

odigo

odigo

0
Hallo zusammen,

ich bin des Öfteren auch in einem anderem Forum unterwegs. Dabei ist mir jetzt schön öfters aufgefallen, daß immer wieder Bots Spam in dem Forum platzieren. Ich gehe mal davon aus daß das Bots sind, weil ich mir nicht vorstellen kann, daß sich jemand die Mühe macht und das manuell einträgt.
Was ich mir nicht zusammenreimen kann ist, wie es die Bots schaffen sich automatisch zu registrieren.
So sieht daß Registrierungsformular aus:
regvv8.jpg

Und so ist das Bild mit den Zahlen und Buchstaben eingebunden:
Code: 
<img src="profile.php?mode=confirm&id=5747e48493bd37d483fc4f2b06f1adf7" alt="" title="" />
Gibt es denn schone eine Bilderkennungssoftware die automatisch diesen Text entschlüsseln kann oder kann man vielleicht aus der id des Bildes auf den Code schließen?
Mir ist das echt Rätselhaft.
Weiß dazu jemand was?

Gruß odigo
 
Es gibt bereits diverse Tools und Algorithmen um Captchas zu lesen. Siehe z.B. http://sam.zoy.org/pwntcha/ um nur mal ein Beispiel zu nennen. Momentan sind animierte Captchas noch eine recht gute Lösung, aber ewig wird das auch nicht halten.
 
Also gerade das gezeigte Beispiel müsste relativ leicht mittels Bilderkennung lösen können.

Vielleicht würden Semantische Fragen bei Registrierungsformularen helfen.
Z.b sowas wie "Apfel Birne Orange - Nehmen sie das zweite Wort und schreiben sie es rückwärts"
 
Ein Blick ins Log des Webservers bringt vielleicht auch Aufschluss. Möglicherweise gibt es eine Lücke in der Registrierungsroutine, mit der das CAPTCHA umgangen werden kann.

Eine weitere Möglichkeit ist auch, die Dinger von Menschen lösen zu lassen. Das macht keiner freiwillig, aber möglicherweise ja doch, wenn es nicht wissentlich passiert. Zum Beispiel könnten die CAPTCHAs von deinem Forum auf einer anderen Seite eingebunden werden, wo Leute dann in dem Glauben, sich für diese Seite zu registrieren, die CAPTCHAs deines Forums lösen und damit über Umwege dem Seitenbetreiber einen weiteren Account zum Spammen generieren... das ist zwar recht kompliziert und unwahrscheinlich, aber nicht ganz auszuschließen.
 
Eine weitere Möglichkeit ist auch, die Dinger von Menschen lösen zu lassen. Das macht keiner freiwillig, aber möglicherweise ja doch, wenn es nicht wissentlich passiert. Zum Beispiel könnten die CAPTCHAs von deinem Forum auf einer anderen Seite eingebunden werden, wo Leute dann in dem Glauben, sich für diese Seite zu registrieren, die CAPTCHAs deines Forums lösen und damit über Umwege dem Seitenbetreiber einen weiteren Account zum Spammen generieren... das ist zwar recht kompliziert und unwahrscheinlich, aber nicht ganz auszuschließen.
Zum Vergrößern anklicken....
Ich glaube auch eher dass ¨¨¨v

Also gerade das gezeigte Beispiel müsste relativ leicht mittels Bilderkennung lösen können.
Zum Vergrößern anklicken....
Ja. z.B. mit Abyy FineReader. Der ist auch in der Lage weitaus schwierigere zu entziffern, wie z.B. die CAPTCHAs von RS ;)

mfg
IsNull
 
Hallo,
auf der Seite von bitmuncher findet man deinen Captcha:
97% Erfolgsrate
Weaknesses: constant font, no rotation, no deformation, constant colours, weak perturbation.
Zum Vergrößern anklicken....


Was aber gegen Bots hilft:
Unsichtbare Felder einfügen, die nicht ausgefüllt werden dürfen. Ein Mensch füllt da kein Text ein, weil er ja das Feld nicht sieht, ein Bot sendet aber u.U. einen Inhalt mit für das Feld. Vorallem wenn es so Standard-Namen hat wie "Homepage", "Url", "Email", "Message" o.ä.
Einfach in der Beitrag erstellen Seite ein paar unsichtbare Felder (CSS: display:none;) einfügen, und im PHP Script die Annahme des Posts verweigern, sobald eins der Felder ausgefüllt ist. Dies hält bei mir die Spamflut sehr in Grenzen (unter 5%), obwohl kein Captcha o.ä. vorhanden ist (obwohl Bots täglich vorbei schauen).
 
Es ging da jetzt nicht um ein Forum das ich betreibe.
Ich habe dem Administrator diesen Link geschickt was ja auch eine einfache Möglichkeit wäre Spambots auszuschließen. Man muss im Prinzip nur das "Standardprozedere" in dem Fall von phpBB ändern und schon haben die Bots keine Chance mehr. Der Admin hat mir aber nur geantwortet, daß er zur Zeit nichts am Code ändern will, weil eh ein Update von phpBB2 auf phpBB3 ansteht. Er hofft daß es dadurch auch besser wird mit den Spambots. Ich glaube das ehrlich gesagt nicht, aber man kann ja niemanden zu seinem Glück zwingen. Er löscht anscheinend lieber jede Menge Spam anstatt eine kleine nicht zeitaufwendige Änderung vorzunehmen :D

Gruß odigo
 
Original von odigo
Er löscht anscheinend lieber jede Menge Spam anstatt eine kleine nicht zeitaufwendige Änderung vorzunehmen
Zum Vergrößern anklicken....

Wenn sie so einfach ist dann kannste die doch coden und nen mod für phpbb draus machen. Wollte ich auch schon machen aber irgendwie nicht zu gekommen...


Was währe den die beste methode? Kleine rechenaufgaben würden ja schon reichen? Die bots sind ja für die standart installation gedacht und würden ja bestimmt nicht für ne kleine menge an boards wo es nicht geht umgeschrieben werden.


EDIT: hoppala den link zur phpbb.de diskussion übersehn :D
 
Ich hab mir jetzt mal testweise die Beta5 vom neuen phpBB3-Board installiert um mir mal das Captcha da anzuschauen. So schaut es aus:
captchaphpbb3ps2.jpg


Ich kenn mich zwar im Bereich von OCR/Bilderkennung überhaupt nicht aus, aber irgendwie schaut das für den momentanen Stand der Technik recht sicher aus.
Ich habe auch mal diesem Sam aus bitmuncher's Link die Frage gestellt was er davon hält, mal schauen ob er antwortet :D

Gruß odigo
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben