X Finans Kuruluşu – Animated Captcha (GIF)

Yaklaşık bir haftadır “nasıl bir captcha kullanmalı, captchakiller sitesi de paralı oldu, acaba çözülmesi zor bir captcha yaptığımdan nasıl emin olabilirim” sorusuna cevap aradığım şu günlerde şans eseri yerel bir finans kuruluşunun kritik uygulamasının giriş sayfasında kullandığı ve muhtemelen kendilerinin tasarlamış olduğu animated captcha (GIF) ile karşılaştım. Animated olması nedeniyle ilk başta OCR’a karşı başarılı olabileceğini düşündüm ancak üzerinde biraz daha düşündükten sonra teoride teknik sebeplerden ötürü pekte başarılı olamayacağına kanaat getirdim ve pratikte buna yanıt aramanın hem kendi adıma hem de Türkiye’de oldukça fazla sayıda müşterisi olan bu finans kuruluşu ve müşterileri adına faydalı olacağını karar verdim ve ufak bir program hazırlamaya başladım. Açık kaynak kodlu kütüphanelerden de faydalanarak yaklaşık 2 saatte tamamladığım bu program, animated captchayı %80 başarıyla çözebiliyor.

Elimden geldiğince e-posta yolu ile yetkililere ulaşmaya çalıştım ancak henüz bir geri dönüş olmadı, olur da geri dönüş olursa ve captchalarında bir iyileştirmeye yaparlarsa ve responsible disclosure konusunda anlayışlı olurlarsa hazırladığım programın içeriğini ve POC videosunu sizlerle paylaşabileceğim…

Güncelleme: Bugün itibariyle kendileriyle iletişim kurabildim, programı ve POC videoyu paylaştım, hızlı geri dönüşleri ve yaklaşımları için kendilerine teşekkür ediyorum.

Date: Fri, Nov 20, 2009 at 10:03 AM
————————————
Merhaba,

Sayfamızda kullanılan captcha üzerine bir çalışma yaptığınızı öğrendik.
Bu konu üzerinde araştırmalarımızı yapıyoruz. Size birkaç soru sormak isteriz .

Çalışmanızı yaparken hangi OCR kütüphanelerini kullandınız?
Herhangi bir sakıncası yoksa yazdığınız programınızı bizimle paylaşabilir misiniz?

Hassasiyetiniz ve bilgilendirmeniz için teşekkür ederiz.

İyi çalışmalar

image_pdfShow this post in PDF formatimage_printPrint this page
2 comments
Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More