آسيپ پذيري سايت سازمان سنجش در كد امنيتي (حتما ببينيد !)
با سلام
ديشب رفتم توي سايت سازمان سنجش براي يكي از دوستان كارت ورود به جلسه بگيرم
يه چيزي توجهم رو جلب كرد
تصويري كه براي جلوگيري از ورود ربات ها ميزارند (Captcha) رو تغيير داده بودند
مثلا خواستند نوآوري كنند
لينك زير رو ببينيد :
به جاي عكس از كاراكتر استفاده كردند كه واقعا آسيب پذيرهکد:http://srv2000.sanjesh.org/kart/89/sarasari/
با كاراكتر # شكل حروف رو ساختند (لينك رو ببينيد)
اصولا اين كدها رو بصورت تصويري و جوري كه نشه خوند ميزارن ولي سازمان سنجش اين كد رو جوري گذاشته كه راحت ميشه ازش رد شد
تازه فقط از حروف بزرگ استفاده كرده و اعداد هم نيست
يعني فقط 26 حرف انگليسي
با اين ديتابيس سنگيني كه دارند فكر كنيد يه روبات رو چند بار روي چند تا سرور اجرا كني و دائم Query بگيري
اونوقته كه سازمان سنجش ميشه سازمان رنجش
يا سايتشون اينقدر كند ميشه كه كفر همه در مياد
يا سرورشون داون ميشه
به همين راحتي
من يه برنامه (يا ربات) نوشتم كه مي تونه اين كد امنيتي رو بخونه
مي تونيد دريافت و تست كنيد (50 كيلوبايت بيشتر نيست)
(براي اطمينان از ويروسي نبودن مي تونيد با آنتي ويروستون چكش كنيد كه البته من كامل چك كردم)کد:http://up.iranblog.com/Files/217e86c733f14787abf7.rar
البته سورسش رو نزاشتم (به دليل امكان سوء استفاده)
ولي اگه كسي لازم داشت بگه براش بفرستم
كد امنيتي بايد مثل گوگل يا ياهو باشه كه رد شدن ازش تقريبا محاله
ميشه گفت احتمال اينكه بشه ازش رد شد صفر هست
اميدوارم از اين مطلب استفاده كرده باشيد
موفق باشيد
پاسخ با نقل قول