Капча на http://main-ip.ru

Discussion in 'Болталка' started by tmp, 14 Nov 2014.

  1. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    Помогите разобраться с капчей, плиз. Ни как не пойму принцип ее работы.

    Отключил Куки, для того чтоб отследить как идентифицируется сессия без кук, но ни чего не увидел.

    Если обновляю картинку в браузере и отсылаю постом в этом же браузере данные капчи, юзерагент такой же какой при запросе картинки - сообщение проходит.

    Если в другом браузере (из под виртуальной машины) но с таким же юзерагентом получаю каринку то при отправке постом уже из первого браузреа тех же данных (данные капчи и юзерагент тот же что во втором) - сообщение не проходит.

    Тампердата просматриваю трафик - ни чего вроде больше не передается для этой задачи. ХЗ где туплю...


    Картинка:
    http://main-ip.ru/captcha.php

    Скрипт для отправки сообщения:
    http://main-ip.ru/mail.php

    Необходимые данные в посте:
    Referrer: реальный адрес сайта где зарегестрирована форма
    Post data: captcha= данные капчи

    Ну и Юзерагент.
     
    #1 tmp, 14 Nov 2014
    Last edited: 14 Nov 2014
  2. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    1,987
    Likes Received:
    879
    Reputations:
    198
    Советую скачать любой скрипт капчи и посмотреть принцип как оно работает чтоб не задавать таких вопросов
     
    _________________________
  3. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,599
    Likes Received:
    1,308
    Reputations:
    1,557
    Все просто, капча привязана к сессии.
     
  4. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    Ну я так и подумал. В куках вижу как передается номер сессии. Поэтому отключил куки. И дальше сессия не передается. Чето не пойму как на сервере привязывается браузер к файлу сессии, если браузер не передает номер сессии. По идее же браузер в таком случае должен либо постом либо гетом номер передать? Ну ладно. Пойдем практиковать.
     
  5. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,599
    Likes Received:
    1,308
    Reputations:
    1,557
    С отключенными куками всегда пишет, что цифры с капчи введены неправильно.
     
  6. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    Это проверил на main-ip.ru ??? Странно. у меня проходит все ок. Может я куки не отключил полностью? Буду проверять. Но в темпердате даже смотрел - куки не проходят. ОК! Спасибо за тест! Буду разбираться!
     
  7. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,453
    Likes Received:
    2,826
    Reputations:
    231
    За вас всё решили.
    Есть куки и есть локал хост данные HTML5.

    [​IMG]
     
  8. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    911
    Likes Received:
    469
    Reputations:
    723
    Сессии в локалсторадже никто не передает.
    Для этого есть сешнсторадж, но тот браузер на скрине жалкий, не даёт человеку прав. Поэтому я использую FF.
    Что касается сайта, он не использует какие-либо локальные хранилища.
    Правильный ответ дал M_script
     
    _________________________
  9. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,453
    Likes Received:
    2,826
    Reputations:
    231
    VY_CMa, будь добр, займись своей браузер-фермой.
    Со своей, разберусь сам. FF36a1 here as main web surfing engine.
     
  10. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    Нихрена не пойму. Конечно буду скоро разбираться наверно припрактическом использовании курл в пхп, но хотелось до этого разобраться в теории... но так ни хрена и не понял. Почему у вас не получается без куки отправить? Я даже специально видео заснял. Потому что хоть убейте - но не понимаю! )))

    Правда видео не очень хорошего качества, всего 15 фпс. если надо - могу сделать лучше.

    Вот просто без куки отправляю сообщение с сайта:

    https://www.youtube.com/watch?v=FgwoTN29SMw

    Вот отправляю уже через Хакбар. (в конце (второй раз) отправляю уже с неправильными данными капч, чтоб показать - что тогда выдается что данные не правильные.)

    https://www.youtube.com/watch?v=R83pk_RapmI
     
  11. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    911
    Likes Received:
    469
    Reputations:
    723
    With cookies:
    [​IMG]

    Without cookies:
    [​IMG]

    Questions?
     
    _________________________
  12. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    :) Ну да, есть вопрос:
    Ты в первом и во тором случае отправляешь одно и то же значение капчи?

    UPD
    Все, разобрался!

    вы проверяете в тестовой форме. Там без куки не работает!

    В реальной - работающей форме работает без куки! :)

    Вот здесь можно проверить:

    хттп://www(точка)****(точка)com/zakaz-taksi-on-line.html
     
    #12 tmp, 15 Nov 2014
    Last edited: 15 Nov 2014
  13. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,599
    Likes Received:
    1,308
    Reputations:
    1,557
    Я смотрел, как работает капча внутри сайта, там она привязана к сессии. Надо было сразу написать, что отправка через [censored].
    Но и здесь все так же просто. Капча привязана к юзер-агенту.
     
    #13 M_script, 15 Nov 2014
    Last edited: 15 Nov 2014
  14. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    Так вроде бы да, но ты пробовал на разных браузерах? Я в первом посте писал, что вроде бы как да, по юзерагенту. Но пробовал потом картинку загружать в одном браузере из под виртуальной машины, а данные отправлять из другого браузера - и сообщение не проходит. И там и там делал юзерагент один и тот же (хотя мож где то ошибся, но если ты говоришь что у тебя все сработало - то проверю еще раз.) .
     
    #14 tmp, 15 Nov 2014
    Last edited: 15 Nov 2014
  15. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,453
    Likes Received:
    2,826
    Reputations:
    231
    Ясно. Мы всё усложняем.
    Юзер-агент сбрасывается элементарно, одной строкой в user.js в профайле FF. firefox -p
     
  16. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,599
    Likes Received:
    1,308
    Reputations:
    1,557
    В качестве юзер-агента поставил рандомную строку [a-zA-Z0-9]{32}. Получил капчу, используя этот юзер-агент.
    Так как капча может сброситься при успешной отправке сообщения, использовал неверные поля запроса. Правильная капча - "Введите правильный электронный адрес", неправильная - "Неправильный защитный код".
    С тем же юзер-агентом и текстом полученной капчи с трех разных серверов, находящихся в разных странах, отправил запросы на mail.php. Капча оказалась правильной.
    На каждом сервере в юзер-агенте изменил один случайный символ. Отправил запрос. Капча неправильная.
    Изменил юзер-агент обратно на тот, с которым получал капчу. Все три сервера опять показали правильную капчу.
    Запросы отправлял не через браузер, а через сокеты, без лишних заголовков.
    Code:
    POST /mail.php HTTP/1.1
    User-Agent: %MY_USER_AGENT%
    Host: main-ip.ru
    Referer: [COLOR=Red][censored][/COLOR]
    Content-Type: application/x-www-form-urlencoded
    Content-Length: %BODY_LENGTH%
    
    %BODY%
    
     
    #16 M_script, 15 Nov 2014
    Last edited: 15 Nov 2014
  17. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    M_script, огромнейшее спасибо за полный анализ!!! Значит у меня с юзерагентом получился косяк! ща займусь! Одна просьба - можно, пожалуйста поменять как то урл *****(точка)com, чтоб не четабельно было для Гугля! Это суки конкуренты, не честно ведут бизнес, мне нужно будет их заспамить, чтоб не вышли на эту тему.
     
    #17 tmp, 15 Nov 2014
    Last edited: 15 Nov 2014
  18. M_script

    M_script Members of Antichat

    Joined:
    4 Nov 2004
    Messages:
    2,599
    Likes Received:
    1,308
    Reputations:
    1,557
    tmp, ты забыл убрать одну ссылку. Пост #14
     
  19. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    БЛАГОДАРЮ!!! :)
     
  20. tmp

    tmp Banned

    Joined:
    10 Mar 2005
    Messages:
    420
    Likes Received:
    32
    Reputations:
    1
    Кстати да:
    Всем спасибо! Вопрос решен! Тему можно закрывать! :)
     
Loading...