Dyrk.org - Do You Really Know

Leboncoin dispose de protection anti-spam insuffisante

Publié le 10 mai 2015 par #Ro0t

leboncoin-humour-taxe

 

A l’heure actuel, Leboncoin, célèbre plateforme de mise en relation entre particulier et professionnel, dispose de plusieurs atouts sur un plan « sécurité », mais de nombreux « inconvénients » aussi.

 

1 ) Les emails

 

Tout d’abord, les emails, ne sont pas directement affichés, nous passons désormais par un formulaire de mise en relation, ce qui limite donc les robots collecteurs d’information.

Cependant il est simple aujourd’hui de contourner cette sécurité :

Un script qui simule une validation de formulaire pour contacter le vendeur.
Le vendeur reçois un mail avec l’adresse email définis par le robot, auquel il répond.
Le robot consulte ses emails reçus et dispose donc de l’adresse email du vendeur.

 

2) Les numéros de téléphones

La sécurité pour leboncoin concernant l’affichage de numéro de téléphone, passe par l’utilisation d’image.

En gros, un robot qui consultera le code source de la page, ne pourra pas récupérer le numéro de téléphone car celui-ci sera affiché dans une image ….

SAUF si cette image n’est pas complexifié (façon captcha, mettre des couleurs, des petits points, des traits pour limiter la reconnaissance).

Bref à l’heure actuel, il est très simple pour un robot avec un peu de rétro engeenering, de récupérer le téléphone des articles.

 

L’url d’un article est comme ceci : 
http://www.leboncoin.fr/ameublement/795208804.htm?ca=18_s

Lorsque vous cliquez sur « Afficher le téléphone », vous récupérez une url similaire à ceci :
http://www2.leboncoin.fr/ajapi/get/phone?list_id=795208804

 

Et cette dernière page vous retourne dans un format « json » le lien vers l’image du numéro de téléphone.

 

Du coup, avec un petit programme OCR, vous pouvez extraire sans difficulté le numéro de téléphone de l’image.

 

La petite sécurité « finale » de « leboncoin » est un blocage des serveur dédié OVH … du coup pour faire des requêtes, il faut passer par un proxy ^^