Где-то месяц назад решил как-то автоматизировать постинг сообщений в гостевые юкоза и разбирая их систему впервые натолкнулся на довольно интересный способ защиты.

Сообщение постилось при отправке запроса по адресу

http://$HOST/gb/

В запросе нужно было отдать все куки полученные при загрузке страницы и вот такой POST-массив:

$postdata = array(
	"id" => '/gb/',
	"name" => "[имя]",
	"message" => "[само сообщение]",
	"email" => "",
	"www"	=> "",
	"code" => "[циферки с капче]",
	"a" => "[этот парамерт есть в странице]",
	"m"	=> "[этот парамерт есть в странице]",
	"syst" => "",
	"sos" => [гвоздь]
);

Как видно, почти все данные можно вытащить из страницы, с капчей тоже проблем нет (сливаем ее с полученными куками).  Но я сказал “почти” не спроста. sos - этого параметра в странице нет, а без него спамить не получится. После не очень продолжительного ломания мозга я обратил внимание на след кусок JS-кода (табуляцию сам проставил):

var _y8M='';
function _dS(s)
{
	var i;
	var r="";
	var l=s.length-1;
	var k=s.substr(l,1);
	for (i=0;i<32){
		c=127-(32-c);
		}
		r+=String.fromCharCode(c);
	}
return r;
}
_y8M=_dS('>kprwv"v{rg?$jkffgp$"pcog?$uqu$"xcnwg?$37234;746:$"1@2');

Как видно есть функция которая как-то преобразовывает данную строку. Полез дальше, смотреть что же вернет функция и вот результат:

<input name="sos" type="hidden" value="1501295248" />

Как все просто. Осталось вытащить из страницы зашифрованную строку и преобразовать ее. Вот функция на PHP, которая делает нужное преобразование:

function sos_decode($code)
{
	$ret = '';
	$code = stripcslashes($code);
	$l = strlen($code)-1;
	$k = substr($code,$l,1);
	for($i=0;$i<$l;$i++){
		$c = ord($code[$i])-$k;
		if($c<32){
			$c = 127-(32-$c);
		}
		$ret .= chr($c);
	}
	return $ret;
}

Вот и все. Я свой спамер так и не написал т.к. не очень он мне нужен, да и с недавних пор описаных действий стало маловато! UCOZ что-то изменил в своей анти-спам защите и с этим я пока не разобрался.

Оригинал статьи