Posting ini merujuk ke Google ReCaptcha v2 (bukan versi terbaru)
Baru-baru ini Google memperkenalkan sistem verifikasi "captcha" yang disederhanakan ( video ) yang memungkinkan pengguna untuk melewatkan "captcha" hanya dengan mengkliknya.
Tetapi bagaimana bisa membedakan bot dari seseorang hanya dengan satu klik?
Sesuai jawaban ini , (dengan asumsi implementasi yang sama), pada awalnya "recaptcha" menghasilkan kunci tersembunyi dan menempelkannya ke elemen input tersembunyi dan juga dengan malas membuat kotak centang (bukan kotak centang yang sebenarnya input
tetapi a div
) dengan kunci yang sama yang ketika diklik, mengirimkan permintaan asinkron (XHR) ke server backend Google untuk menandainya sebagai kunci verifikasi yang valid (yaitu kunci yang harus divalidasi ketika formulir dikirimkan).
Tetapi mengapa bot tidak dapat mengotomatiskan klik tersebut (setidaknya, bot berbasis browser)?
Bagaimana ini bisa berhasil?
Jawaban:
Ini spekulasi, tetapi berdasarkan referensi Google ke "mesin analisis risiko" yang mereka gunakan ( http://googleonlinesecurity.blogspot.com/2014/12/are-you-robot-introducing-no-captcha.html )
Saya akan berasumsi itu terlihat pada bagaimana Anda berperilaku sebelum mengklik, bagaimana kursor Anda bergerak menuju check (jalur organik / akselerasi), bagian mana dari kotak centang yang diklik (tempat acak, atau mati di tengah setiap kali), browser sidik jari, cookie Google & konten, klik riwayat lokasi terkait dengan sidik jari atau akun Anda jika itu mendeteksi dll.
Cukup sulit untuk memalsukan perilaku "organik" sedemikian rupa sehingga menipu mesin pendeteksi pola yang terus-menerus belajar. Dalam kasus di mana itu tidak yakin, itu masih meminta Anda untuk mencocokkan string CAPTCHA yang sebenarnya.
sumber
Sebuah makalah baru telah dirilis dengan beberapa tes terhadap reCAPTCHA:
https://www.blackhat.com/docs/asia-16/materials/asia-16-Sivakorn-Im-Not-a-Human-Breaking-the-Google-reCAPTCHA-wp.pdf
Beberapa hal penting:
Google telah memperbaiki kerentanan cookie dan mungkin membatasi beberapa perilaku berdasarkan IP.
Temuan menarik lainnya adalah bahwa Google menjalankan VM dalam JavaScript yang mengaburkan banyak kode dan perilaku reCAPTCHA. VM ini dikenal sebagai botguard dan digunakan untuk melindungi layanan lain selain reCAPTCHA:
https://github.com/neuroradiology/InsideReCaptcha
PEMBARUAN 2017
Sebuah makalah baru-baru ini (dari Agustus) diterbitkan pada WOOT 2017 mencapai akurasi 85% dalam menyelesaikan tantangan audio noCAPTCHA reCAPTCHA:
http://uncaptcha.cs.umd.edu/papers/uncaptcha_woot17.pdf
PEMBARUAN 2018
Google memperkenalkan reCAPTCHA v3, yang terlihat seperti "mesin prediksi skor manusia" yang dikalibrasi per situs web. Ini dapat diinstal ke halaman situs web yang berbeda (berfungsi seperti skrip Google Analytics) untuk membantu reCAPTCHA dan pemilik situs web untuk memahami perilaku manusia vs bot sebelum mengisi reCAPTCHA.
https://www.google.com/recaptcha/intro/v3beta.html
sumber
mouse events don't affect the results
Itu menarik, karena saya (dan saya percaya banyak orang lain) berpikir itu adalah hal utama yang mempengaruhi hasil. Saya pikir di ponsel alih-alih kotak centang, pengguna diminta memilih semua gambar yang sama, karena tidak ada gerakan mouse di layar sentuh. Namun, melihat posting blog pengantar lagi, tampaknya tidak demikian. Mungkin memilih gambar bukannya mengetik teks yang terdistorsi, bukan bukannya menandai kotak. Apakah Anda (atau siapa pun) tahu apakah reCAPTCHA pernah mengizinkannya dengan mencentang kotak di ponsel?Tab
danEnter
memilih kotak centang, itu akan menunjukkan gambar captcha bagi Anda untuk memilihnya berdasarkan kriteria.Tab
danEnter
tidak akan menampilkan gambar captcha sepanjang waktu. Sebagian besar waktu mendesakTab
danEnter
diterimaBot saya berjalan dengan baik melawan ReCaptcha.
Sini Solusi saya.
Biarkan Bot Anda melakukan Langkah-langkah ini:
Pertama, tulis Human Move Move Function untuk menggerakkan Mouse Anda seperti B-Spline (Tanya saya untuk Kode Sumber). Ini adalah Poin yang paling penting.
Juga gunakan untuk hasil VPN yang lebih baik seperti https://www.purevpn.com
Untuk setiap Recpatcha lakukan Langkah-langkah ini:
Jika Anda menggunakan VPN, ganti IP terlebih dahulu
Hapus semua Cookie Browser
Hapus semua Tembolok Peramban
Tetapkan salah satu Agen Pengguna ini secara Acak:
Sebuah. Mozilla / 5.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident / 5.0)
b. Mozilla / 5.0 (Windows NT 6.1; WOW64; rv: 44.0) Gecko / 20100101 Firefox / 44.0
5 Gerakkan Mouse Anda dengan Mouse Pindahkan Manusia Funktion dari RandomPoint ke Saya bukan Robot Gambar setiap kali dengan 10x10 Randomrange berbeda
Kemudian Klik pernah dengan penundaan acak antara
WM_LBUTTONDOWN
dan
WM_LBUTTONUP
Ambil Screenshot dari Image Captcha
Kirim Screenshot ke
http://www.deathbycaptcha.com
atau
https://2captcha.com
dan biarkan mereka memecahkan.
Setelah menerima klik, cooridinate dari captcha solver gunakan Human Mouse move Funktion Anda untuk bergerak dan Klik Recaptcha Images
Gunakan Funktion Gerak Mouse Manusia untuk bergerak dan Klik ke Tombol Verifikasi Recaptcha
Dalam 75% semua percobaan, Recaptcha akan terpecahkan
Chears Google
Tom
sumber
Izinkan saya menyampaikan dugaan saya, karena ini bukan teknologi terbuka.
Google mengatakan ini tentang menyisir informasi dari sebelum, selama, setelah untuk membedakan manusia dari robot. Tetapi saya lebih tertarik tentang klik terakhir pada kotak centang.
Katakanlah, data POST (diselesaikan CAPTCHA) memiliki bidang yang disebut sidik jari, string yang dihitung dari perilaku pengguna. Saya pikir mungkin ada bidang tentang lokasi kotak centang itu. Saya kira kotak centang ini berada dalam sistem koordinat yang dibuat secara acak oleh Google back-end dan dienkripsi oleh kunci publik situs saya. Jadi, robot dapat "menebak / menghitung" lokasi tentang kotak ini, tetapi ketika pemilik situs membuat kueri GET dengan kunci pribadi untuk memverifikasi identitas pengguna, Google akan mendekripsi sistem koordinat dan mengatakan jika pengguna mengklik di tempat yang tepat. Jadi, hanya satu klik kanan yang memungkinkan (dengan beberapa penyeimbang, ini kotak kotak) lokasi dalam sistem koordinat acak yang hanya dimiliki oleh Google dan pemilik situs.
sumber
Harap diingat bahwa Google juga menggunakan reCaptcha bersama
untuk secara unik mengenali Pengguna / Browser tanpa cookie!
sumber