ROTLD fun: captcha rezolvat automat

Discuțiile aprinse de acum doi ani au fost date uitării. S-a renunțat ușor ușor și la un sistem de management modern, și la plata anuală a domeniilor, și la nameservere care funcționează.

Dar dacă vreți să vedeți ceva mișto, iată cum, cu ajutorul unei extensii, captcha se completează automat la verificarea unui domeniu.

Vulnerabilitatea e relativ simplă:

The major flaw is that the header, noise and characters are binary concatenated to the file (ie cat header.mp3 a.mp3 1.mp3 6.mp3 noise.mp3 d.mp3 b.mp3 f.mp3 > output.mp3), without resynthesizing the output. One can do a simple binary search for signatures and find the CAPTCHA code.

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 3$

19 comentarii

  1. Frumos. Cine a scris pugin-ul?

    00
  2. Mă mir că nu ne cer CAPTCH prin fax …

    00
    • Fax ar fi un pas inainte. Ca sa vand un domeniu acum 2 ani a trebuit sa trimit recomandata prin posta.

      00
    • +1, am trimis si eu epistola prin Fan Courier cand am “cedat dreptul de folosinta” asupra domeniului. Vezi ca nu poti sa-l vinzi, nu e voie :) Puii mei, afacerist care sunt eu.

      Acelasi Rotld nu poate dom’le sa ia masuri in cazul domeniilor detinute de firme care nu mai exista. Am avut eu o solicitare in acest sens, le-am dat link spre pagina de mfinante unde se vede clar “radiata”, dar cica nu e bine. Sa fac eu un dosar, cu nu stiu ce hartii de la Registrul Comertului, cu motivul pentru care fac sesizarea :D Cand ar trebui sa fie atat de simplu, la o astfel de sesizare online sa se puna in miscare un angajat Rotld care sa vada cu ochiul lui ca intr-adevar firma apare ca radiata, eventual sa sune/trimita hartie :) sa-i confirme cineva, si gata! Nu vorbim, Doamne-apara, de baze de date comune sau ceva, astea probabil mai peste 15 ani incolo…

      00
    • @Catalin

      Ai vrut sa spui “donezi”… :lol:

      00
  3. Sa vezi cum vor curge procesele cand registrul va implementa plata anuala.

    00
  4. Sau ai putea pur si simplu sa folosesti deathbycaptcha sau ceva asemanator, dumb dumb, inca ne miram de captcha-uri in 2015.

    00
  5. Nu ma mai mira nimic cind e vorba de RoTLD si implementari tehnice. De ex. asta este raspunsul care l-am primit cind am descoperit ca raspunsurile XML generate de API-ul lor nu sunt valide:

    “In prinicipiu aveti dreptate, insa validarea pe schema xsd a raspunsului EPP returnat de server de catre client e foarte rar intailnita.

    Defapt sunteti primul registrar care face asa ceva.”

    00
  6. Companie de stat, ce ne putem aștepta de la ei?

    Sunt curios când o să dea voie la diacritice în numele de domeniu.

    00
  7. daca folosesti comanda whois poti sa afli informatia aia fara sa completezi vreun captcha. Nu e nicio vulnerabilitate, cel mult o functionalitate inutila.

    00
  8. Ah, stiri.ro :)

    00
  9. Hai ca s-au sesizat, au eliminat partea de accesibilitate … problema rezolvata.

    00
  10. Nu am incredere in cei de la ROTLD, in curand vom vedea si acolo un Cocos?

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.

Susținere

Susține acest blog cumpărând de pe eMAG prin acest link sau de la PCGarage prin acest link.