OCR нахаляву

В последнее время всеми любимый сервис antigate.com работал не очень стабильно, поэтому многие стали временно использовать известную альтернативу — captchabot.com.
И я решил, так сказать, «заценить», что из себя представляет этот сервис. Не знаю, как с качеством и скоростью распознавания, но меня очень порадовала реализация системы пополнения счета с помощью WebMoney.

Если попытаться пополнить счет, скажем, на 5$, то произойдет переход на промежуточную страницу, в исходном коде которой можно наблюдать стандартную для WebMoney форму запроса проведения платежа.

Однако, довольно интересно себя ведет скрипт, указанный в параметре LMI_RESULT_URL. При простом обращении к нему, во-первых, мы видим раскрытие путей, во-вторых, теоретическую возможность проведения SQL-инъекции (параметры, передаваемые скрипту, можно посмотреть тут). И, как оказалось, скрипт не проводит аутентификацию запроса, что позволяет пополнить счет на любую сумму, используя параметр LMI_PAYMENT_NO со страницы платежа. То есть мы просто передаем скрипту параметры LMI_PAYMENT_AMOUNT и LMI_PAYMENT_NO и деньги зачисляются на счет.

Чтобы не тыкать все это дело ручками, написал программку, которая все сделает за вас. Потребуется ввести только логин, пароль и сумму. Пользуйтесь, хотя быстро прикроют, скорее всего.

Скачать: zip

P.S. На антикапче несколько месяцев назад тоже был замечательный баг, позволяющий делать переводы и выводить средства, превышая доступный баланс.

Оставьте первый комментарий

Оставить комментарий

Ваш электронный адрес не будет опубликован.


*