Recaptcha mi ne dopušta. ReCAPTCHA - najjednostavniji captcha Ja nisam robot iz Googlea. Metode za smanjenje neželjene pošte i zašto reCAPTCHA
+1 U razmatranju
Ako obrazac zahtjeva za podršku sadrži Google captcha, a skriveni način je omogućen u postavkama captcha u trgovini, obrazac ne radi (piše pogrešku "Ovo polje je obavezno", iako su sva polja ispunjena. Za privremeno ispravljanje Situacija...
Captcha se ne prikazuje
Otkrio sam da kada koristim PHP ImageMagick ekstenziju, captcha u obrascu za povratne informacije ($wa->block("site.send_email_form")) ne radi. Čim sam prešao na GD, captcha je proradila. Da li nešto nije u redu sa mnom ili je bolje...
Postoji rješenje
Kaže da je captcha unesena netočno. Standardna captcha daje istu stvar. Pokušao sam očistiti predmemoriju preglednika i izbrisati sadržaj mape wa-cache, ali nije dalo nikakve rezultate. http://fluxor.ru/ prijava/
Obratite se programeru svoje teme dizajna. U izvorni kod captcha stranice se traži dva puta, drugi put na gumbu Povratne informacije na dnu stranice. Tamo se ne vidi, ali je u izvornom kodu.
Postoji rješenje
Dodao sam captcha u obrazac toka (modul za podršku), ali nije prikazan na web mjestu pomoću predloška zaliha..
Postoji rješenje
Dobar dan! Prije nekog vremena primijetio sam da captcha na stranici ne radi ispravno. Bez obzira koji kod unesete u ovo polje (točan kod ili netočan kod), captcha ne prolazi test.... i...
($wa->storage(["captcha", $wa->app()], "")) čemu takvi plesovi s tamburašima?)) jednostavno ne možete umetnuti ($wa->captcha()) u obrazac . problem možda ako pokušavate koristiti nekoliko captcha na stranici - rješenje ste naišli na forumu... možda dodatak... ili možda predmemorija... može vam trebati dugo da pogađate :)
Postoji rješenje
Zbog poslijednje ažuriranje na verziju 1.8.4.225, u kojoj su riješeni neki problemi s reCAPTCHA-om i naknadnim brzim ažuriranjem na verziju 1.8.5.226, pojavio se sljedeći problem. Ako ga omogućite u trgovini u Postavkama -> Blagajna, prikaži...
U međuvremenu su izbacili novu stvar. Nadam se da se ništa novo nije pokvarilo. Za sada ću ga staviti na probni hosting. :)))
+1 Ispravljeno
Prilikom dodavanja recenzije s prilagođenom nevidljivom captcha od Googlea, captcha prolazi prvi put kada pošaljete obrazac, ali ako je bilo grešaka u obrascu (polja nisu popunjena), tada kada pošaljete obrazac drugi i sljedeći put , captcha ne prolazi...
+1
I što god se dogodilo, unos BILO KOJEg captcha koda je UVIJEK netočan.
⭐ U ovom videu vidjet ćete kako pomoću jednog besplatnog widgeta možete riješiti problem reCaptcha 2.0 u obrascima koji se nalaze u lightboxu Adobe Muse.
👉Dodatno: kako postaviti ReCaptcha 2.0 za korištenje na vašoj web stranici:
Pomoć za Adobe Muse: https://goo.gl/coFJf2
Google servis: https://goo.gl/n6g7fZ (morate imati vlastiti račun i vaša stranica mora biti dodana na Google panel).
ReCaptcha 2.0 u lightboxu. O lekciji, primjer.
Ovaj vodič posebno je za one koji imaju problema s ReCaptcha 2.0 prilikom postavljanja obrasca u lightbox u Adobe Muse. Trebamo ReCaptcha 2.0 u obliku Adobe Muse za borbu protiv spama. Ali kada se stavi u lightbox ovog obrasca, ReCaptcha 2.0 prestaje raditi.
Ovako izgleda. kada kliknemo na “Lightbox gumb s formom” i pokušamo kliknuti na “I’m not a robot” ovdje, počinje nam se stalno ovako skrolati, a ReCaptcha 2.0 ne radi. Ovo je obični lightbox i sadrži Adobe Muse obrazac s recaptcha. Stoga ne možemo ovdje poslati podatke ovog obrasca. Kako riješiti ovaj problem, pogledajte dalje u ovom video vodiču.
ReCaptcha 2.0 u lightboxu. Riješenje.
Pronašao sam rješenje za ovaj problem na jednom od Adobe Muse foruma. A kako bismo riješili ovaj problem, morat ćemo preuzeti jedan widget. Widget se zove “Stranica u okviru”, možete ga preuzeti na ovoj stranici .
ReCaptcha 2.0 u lightboxu. Izrađujemo stranice.
Dakle, idemo na program Adobe Muse, gdje sam već pripremio projekt. Sam Adobe Muse obrazac imam na zasebnoj stranici. Stranicu sam nazvao "obrazac", postavio ovdje obrazac i jedan tekstualni blok s ovim tekstom. U ovom obliku imam uključenu ReCaptcha 2.0 u postavkama. Recaptcha je konfigurirana za moju domenu. Za postavljanje recaptcha trebat će vam dva koda: javni ključ i privatni ključ ako ga hostirate na svojoj web stranici. Popravljamo ovaj obrazac zajedno s ovim tekstom u sredini stranice; za to imamo omogućenu funkciju "Prikvači na stranicu"; ovdje je ikona u sredini. Napravio sam stranicu širine 360 piksela i fleksibilne vrijednosti širine. To je sve.
Sljedeća stranica koju sam također dodatno napravio je stranica “spasibo”. Širina ove stranice je također 360 piksela. A raspored je postavljen na fleksibilnu vrijednost širine. Kliknem "OK". Ovaj tekstualni okvir na ovoj stranici također je centriran. Ovo je stranica na koju kada prijeđete s obrasca u postavkama obrasca, stranica se postavlja nakon podnošenja stranice zahvale.
Dakle, imamo dvije stranice. Jedna stranica obrasca i jedna stranica "hvala". I glavna stranica, na kojoj imamo sam lightbox. Ovdje ću ići malo više u detalje. Sada vidite da imam obrazac u ovom svjetlosnom okviru. Ali zapravo, ovdje nemam obrazac instaliran u ciljni objekt ovog svjetlosnog okvira, već instaliran widget. Widget o kojem sam govorio na početku ove lekcije. Widget se zove "Ugrađena stranica". Jednostavno ga povučete na stranicu. Ovdje poništite potvrdni okvir "Onemogući pomicanje" i u URL-u ove stranice morat ćete navesti URL stranice na kojoj će se obrazac postaviti. U ovom slučaju, ovo je naša stranica "obrazac", gdje smo smjestili obrazac.
ReCaptcha 2.0 u lightboxu. Postavljanje widgeta u lightbox.
Ovaj widget postavljate u ciljni objekt lightboxa. Neću to učiniti sada jer tamo već imam widget. Ovu ću izbrisati, a ovdje ću pokazati da je u mojim postavkama za ovaj widget (ovo su sada postavke lightboxa) skrolanje isključeno i URL je napisan: , jer se moja stranica s obrascem zove “forma”. Sve dok ne objavite ovu stranicu, obrazac u ovom okviru za pregled neće biti prikazan u vašem projektu.
Budući da sam već objavio ovu stranicu na tamo navedenoj adresi, sada već imam obrazac prikazan u ovom lightboxu. Odnosno, ako sada čak i malo promijenim naziv, na primjer, uklonim slovo "l", tj. ako jasno zapišem adresu svoje stranice, koja je već hostirana na hostingu, tada uz pomoć ovog widgeta događa se sljedeće: to bi bio prijevod stranice "obrazac" u ovaj widget. A naš widget smješten je u ciljni objekt okvira za pregled. To je u biti sve što se tiče toga.
ReCaptcha 2.0 u lightboxu. Hosting stranice.
Zatim hostiramo našu web stranicu na našem hostingu. Nakon postavljanja izgledat će ovako. Ovu stranicu nalazim u podmapi "rec" moje domene, a kada kliknem na tipku "Lightbox button with a form in a frame", pojavljuje se skočni prozor u kojem se prikazuje obrazac s recaptcha. Sada, kada započnemo samu recaptchu, recaptcha radi i možemo sigurno poslati ovaj obrazac.
Jedina mana ove metode je ta što će, kada postavite nekoliko ovih lightboxova na jednu stranicu, svi biti poslani na jednu stranicu "obrasca". Kako biste mogli pratiti s kojeg obrasca je prijava stigla, morat ćete izraditi još jednu stranicu „forme“. Na primjer, duplicirajte ga i nazovite "form1". Napravite promjene u postavkama obrasca, na primjer, ovdje napišite "Obrazac obrazac1" tako da se razlikuju u nazivu. I napravite još jedan okvir za osvjetljavanje na glavnoj stranici s instaliranim widgetom ili ga jednostavno duplicirajte klikom na "Kopiraj" i "Zalijepi".
Dobivamo još jedan gumb s lightboxom. Objavit ću malo niže. I već u postavkama ovog widgeta, koji se nalazi ovdje u ciljnom objektu, morat ćemo odrediti adresu stranice "form1". Usput, sada ćete vidjeti da, budući da još nisam objavio ovu stranicu na svojoj web stranici, obrazac još nije prikazan ovdje u ovom lightboxu. Nakon objavljivanja, vidjet ćete potpuno istu sliku, samo će "form1" biti postavljen u ovaj ciljni objekt drugog svjetlosnog okvira.
ReCaptcha 2.0 u lightboxu. Značajke metode.
Svi podaci stranica s obrascima koje smo izradili dio su iste web-lokacije, tako da također možete pratiti konverziju iz svakog od ovih obrazaca prilikom postavljanja u Yandex.Metrici.
Također možete stvoriti zasebnu “spasibo” stranicu za svaki obrazac. Da vidimo kako će ovo funkcionirati na stranici. Klikneš na gumb “Lightbox button with a form in a frame”, potvrdiš da nisi robot, recaptcha radi. Napisati svoje ime. Napisat ću "Dmitry" i ovdje napisati adresu bilo koje e-pošte, na primjer, "123@mail.ru", kliknite "Pošalji". A nakon slanja dobivam stranicu “Hvala na narudžbi!”. – ovo je stranica koju smo konfigurirali za ovaj obrazac, tj. posebna stranica "hvala". Prijelaz na njega je konfiguriran za ovaj obrazac.
Link na forum gdje sam našao rješenje za ovaj problem. I ovim se opraštam, Dmitrij Šapovalov je bio s vama. Pogledajte moje prethodne i sljedeće lekcije na mom kanalu, lajkajte i pišite komentare na ovaj video.
Recaptcha se već nekoliko dana ponaša vrlo čudno. Ako se ne prijavite na svoj Google račun, još uvijek možete riješiti captcha. Mnogi korisnici interneta, uključujući i zaposlenike, susreli su se s ovim problemom.
Najučinkovitiji način da se riješite spore recaptche je promijeniti svoj Google račun u novi ili u onaj koji se ne koristi u servisima za varanje. Također se možete pokušati odjaviti s Googleovih usluga. Ponekad se problem rješava anonimnim načinom rada, brisanjem ili promjenom preglednika, promjenom korisničkog agenta ili IP adrese.Evo uputa koje je predložio jedan od članova grupe “RuCaptcha - Anti-Capcha usluga #1”. Možda će nekome pomoći da prevlada estonske captcha ().
1. Napravite poštu(gmail) i potvrdite svoj broj telefona prilikom registracije, ovo je važno! Kada se registrirate bez potvrde svog broja, vaša e-pošta nije u potpunosti važeća za Google. Registrirao sam svoju poštu s drugog IP-a. S mobitela (3G 2G mreža) tamo je dinamično. Svaki put kada registrirate novi email, gasite i uključujete Internet. Ovdje možete provjeriti je li se ip promijenio - 2ip.ru.
2. Deinstalirajte program(Ako je instalirana STARA VERZIJA, uklonite je pomoću Unínstall Tool (prisilno uklanjanje - čisti registar) ili njegovih analoga. Nakon uklanjanja i dalje morate otići u datoteku hosts i izbrisati ostatke starog programa.
Tražimo datoteku: jednostavnije je koristiti kombinaciju tipki prečaca WINDOWS + R za pozivanje izbornika "Pokreni" i tamo unijeti naredbu: %systemroot%\system32\drivers\etc i otvorit će se mapa s datotekom hosts.
Otvorite hostove i obrišite ostatke programa:
# Pokrenite Rucap
TEST - (ovdje može biti adresa s koje je zadnji put stigao recaptcha)
# Kraj Rucapa
Uštedjeti.
Ako je NOVA VERZIJA, samo obrišite program (folder), zatim idite na hosts i počistite ostatke programa i spremite ga! Gore je napisano. Ponovno pokrenite računalo.
3. Instalirajte staru ili novu verziju bota.
Idemo odmah na hand account i gmail account koji ste kreirali! Nemojte izaći, kliknite Start/Play. Ako se i dalje pojavljuje nerješiv problem, ponovno se prijavite i odmah odjavite s gmaila te kliknite Start/Play
Važna nota! Nemojte koristiti istu e-poštu na drugom botu ili u isto vrijeme! Za drugo, napravite novi gmail račun.
Osobna iskustva i zapažanja:
Kada su svi počeli problemi, botovi su radili za mene, a jednog "lijepog dana" - bot 2 je prestao raditi (recaptcha se nije mogla riješiti), a bot 1 je i dalje radio i još uvijek radi.
Na temelju toga, analizirajući ponašanje 1 bota, odlučio sam učiniti sve točno onako kako sam opisao u uputama, a sada sam to odlučio podijeliti s vama!
Ima li još dugih recaptcha?(odluka administratora stranice)Osobno sam za sebe pronašao jedino ispravno rješenje za rješavanje sporih (nestajućih) recaptcha. O tome ću detaljnije pisati u posebnom članku, ali za sada možete pročitati skicu:
U posljednje vrijeme se počelo pojavljivati mnogo estonskih recaptcha. Google očito predstavlja neke nove algoritme za svoju zamisao. U ovom programu možete si olakšati posao, kao i do sada, samo prijavom na Gmail.
Nedavno se pokazalo da ne može svaki račun riješiti problem spore recaptche, s nekima se stvari samo pogoršavaju. Koji Google računi će nam zajamčeno pomoći?
- Računi koji su stari nekoliko godina ili stariji;
- Računi koji nisu bili prijavljeni jako dugo;
- Novostvoreni računi, pod uvjetom da nisu odmah prijavljeni.
Unos captcha može biti potreban za pravilno korištenje programa, web stranice ili za registraciju. Bit captcha je jednostavna: potvrditi da niste robot. Ali što učiniti ako se ne otvara ili vam tvrdoglavo govori da ste unijeli netočan rezultat?
- Zašto je teško prepoznati captcha?
- Ako je captcha unesena netočno
- Kako unijeti captcha za novac
Ako se baš morate registrirati na određenom forumu, prvo pokušajte provjeriti radi li captcha uopće. Da biste to učinili, morate otvoriti sliku u posebnom prozoru i vidjeti što će se prikazati (ništa, slika, kôd). Ako se pojave čudni znakovi, razlog je najvjerojatnije greška u kodu. U tom slučaju možete pisati samo administraciji web mjesta.
Zašto je teško prepoznati captcha?
Ispod je nekoliko načina da se zaštitite:
- korištenje ruske abecede (isključenje engleskog);
- korištenje kombinacije slova ruske abecede i brojeva;
- Dodatna zaštita je uvedena u obliku primjene raznih filtera, izobličenja, smeća itd.
Takva zaštita uvelike komplicira čitanje i prepoznavanje captcha ne samo za stručnjake, već i za obične korisnike internetskih resursa, čija je obuka nekoliko puta niža.
Ako je captcha unesena netočno
Problem s captcha nastaje iz različitih razloga: prilikom unosa captcha otvara se slika s jednom ili dvije riječi koje se malo razlikuju od pozadine slike, osim toga, oblik znakova je iskrivljen, riječi su napisane s pogreškama ; Računalu je teško prepoznati iskrivljene fontove i besmisleni tekst, ali osoba to može koristiti za provjeru autentičnosti.
- Prijavite se iz različitih preglednika. Ponekad pomaže.
- Provjerite brzinu interneta. Činjenica je da se pri vrlo niskim brzinama slika jednostavno ne može učitati. Ili to učinite s greškama.
- Provjerite jeste li dopustili prikazivanje slika jer je captcha u biti slika. Preporučljivo je to pogledati u odgovarajućim postavkama. Ako postoji ograničenje, samo ga popravite i ponovno pokrenite preglednik.
- Prijavite se s glavne stranice stranice. Ovo ponekad stvarno upali.
- Pokušajte pronaći audio verziju captcha. Sasvim je moguće da je s glasovnom glumom sve u redu.
- Pokušajte se registrirati ili izvršiti potrebne radnje sa svog mobitela. Dešava se da mobilna verzija stranice radi dobro.
- Provjera ne prolazi: captcha može biti u sukobu s antivirusnim softverom, percipira se kao potencijalno opasan element. Pokušajte deaktivirati antivirusni program i osvježiti stranicu;
- Pitajte imaju li drugi korisnici RuNeta sličan problem. Tako ćete sa sigurnošću znati je li problem povezan s vašim računalom.
Najvjerojatnije će jedna od ovih metoda djelovati. U suprotnom, trebate potražiti druge opcije.
Pogledajte video na temu:
Druge opcije za zaobilaženje captcha
Prva opcija je obratiti se servisima koji pružaju usluge prepoznavanja captcha - Rucaptcha, Antigate itd. Ideja nije loša, ali ako je problem u kodiranju stranice, osovinske kutije ovdje neće pomoći. Osim toga, postoji određeni minimum za kupca (obično oko 1 dolar), koji prvo mora prenijeti na račun resursa. Ovo ima smisla kada govorimo o tisuću captcha, ali ne o jednom ili nekoliko njih.
Druga opcija je pokušati koristiti programe koji automatski prepoznaju captcha. Imaju malu učinkovitost. otprilike 10%, ali to je dovoljno da se zaobiđe jednostavna zaštita. Ali ne mogu se nositi sa složenim slučajevima.
Osim toga, takvi programi brzo postaju beskorisni nakon što se počnu široko koristiti. Stoga morate stalno tražiti nove mogućnosti. Tako su veće šanse da još uvijek rade.
Kako unijeti captcha za novac
Ako vas captcha ne živcira, imate slobodnog vremena i želju za dodatnom zaradom, možete se sami registrirati na resursima za prepoznavanje captcha i zaraditi oko 50 rubalja po satu. Ovaj rad je dobar jer je pogodan za gotovo svakoga, jer ne zahtijeva nikakvo posebno znanje. Pročitajte ovaj članak za detalje.
- ručno CAPTCHA hakiranje (haker proučava određenu implementaciju captcha i odabire načine za njezino razbijanje);
- korištenje posebnih programa (robota), uz pomoć kojih se organiziraju masovni automatizirani napadi na nekoliko stranica istovremeno (obično razvijene na istoj platformi ili imaju iste captcha, kojima su hakeri uspjeli pronaći "ključeve");
- iskorištavanje rada stvarnih ljudi.
Motivi napadača prilikom probijanja captcha mogu biti vrlo različiti, od banalne zavisti i osvete, do širenja spama i stjecanja kontrole nad cijelim resursom pomoću SQL injekcija i drugih mehanizama.
U pravilu, sva masovna zaobilaženja captcha počinju ručnim hakiranjem. To se obično događa na zahtjev ili iz znanstvenog interesa, a takvi napadi usmjereni su na specifične CAPTCHA implementacije.
I onda se stavljaju na stream, t.j. organiziraju se automatski pomoću robotskih programa (botova).
Pa, u slučajevima kada nije moguće izbjeći captcha programski, CAPTCHA se unosi ručno korištenjem rada stvarnih ljudi koji te podatke šalju napadaču ili rješavaju captcha u stvarnom vremenu zahvaljujući API-ju.
Dakle, otkrili smo alate i motive hakera. Pogledajmo sada najčešće metode zaobilaženja CAPTCHA, razvrstavajući ih u dvije skupine: one koje su moguće zbog pogrešaka programera pri implementaciji CAPTCHA i one za koje se koriste moderne tehnologije.
Počnimo redom, a ja ću ih pokušati postaviti redoslijedom sve veće složenosti zaštite od njih, počevši od najprimitivnijih i završavajući s onima za koje metode zaštite još nisu izmišljene.
Da stvorim intrigu, reći ću da ih je trenutno tri.
Zaobilaženje captcha zbog pogrešaka u implementaciji
Ako pitate kreatore njihovih vlastitih CAPTCHA implementacija o tome kako zaobići captcha, reći će vam barem nekoliko načina. Ali najzanimljivije je da oni sami ponekad ostavljaju prozore i vrata u svojim kreacijama za hakiranje.
To se često događa zbog krivnje ljudskog faktora, odnosno obične nepažnje tijekom razvoja i nedostatka temeljitosti pri testiranju sigurnosti captcha.
Ali ponekad postoji i neiskustvo, zbog čega programer jednostavno nije bio svjestan nekih metoda zaobilaženja captcha u vrijeme razvoja.
Kao što sam obećao, u ovom odjeljku ću pogledati one najčešće, kao i načine zaštite od njih. I počnimo, kao što je obećano, s najprimitivnijom stvari.
Zaobilaženje captcha s fiksnim skupom zadataka
U zoru captcha, captcha koju sam napisao bio je vrlo popularan kao sredstvo borbe protiv botova, jer svi su željeli isprobati novu tehnologiju, a kao rezultat toga, captcha su izmislili svi koji nisu bili previše lijeni.
U slučaju korištenja captcha koje sami pišu, pri čijoj implementaciji su programeri odlučili ne zamarati se velikom bazom slika, pitanja ili drugih vrsta zadataka, za ciljani automatski napad na web mjesto s takvim CAPTCHA-om, samo morate ručno pronaći odgovore.
Oni. odemo na takvu stranicu, izaberemo odgovore, sastavimo bazu zadataka i točnih rješenja te napišemo bota za brute force napade koji će odabrati odgovarajuće opcije.
Ali, na sreću, u modernom svijetu nećete se moći susresti s mnogo takvih situacija, jer... kibernetička sigurnost je od tada dosegla vrlo respektabilnu razinu i nitko ne stvara takve primitivce.
A ako i postoje takvi ljudi, oni vrlo brzo uče na svojim greškama kada izgube kontrolu nad svojim stranicama ili klijentima koji su hakirani zbog takvih kreacija.
Zaštita: nikada ne stvarajte captcha sa skupom zadataka čija se rješenja mogu odabrati ručno. Ako za rješavanje captcha trebate riješiti matematički primjer ili unijeti znakove sa slike, tada bi se zadaci i odgovori na njih trebali automatski generirati.
Drugi način zaštite od takvog automatskog unosa captcha je promjena naziva polja obrasca u koje treba unijeti odgovor. Ako je naziv polja, na primjer, uvijek "captcha", tada će napadaču biti lakše probiti takav captcha. Njegov program robota jednostavno će poslati zahtjev poslužiteljskoj skripti navedenoj u HTML "action" atributu obrasca, koji sadrži traženu captcha vrijednost.
Ako je u ovoj situaciji naziv captcha polja cijelo vrijeme isti, tada će haker jednostavno koristiti bazu podataka najčešćih naziva captcha polja, koju možete sami sastaviti dok proučavate različite stranice ili preuzeti gotovu na specijaliziranim resursa (neću ih navoditi radi promicanja hakiranja).
Ako je naziv polja, kao i sam captcha zadatak, generiran na poslužitelju, tada nikakva baza podataka captcha imena neće pomoći. Kako bi se koristio dinamički naziv polja, u praksi captcha generira jedna skripta, a obrađuje druga.
U ovom slučaju, implementacija captcha ima jednu značajnu nijansu: skripta koja obrađuje ispravnost svog unosa morat će nekako proslijediti naziv captcha polja. To se najčešće radi pomoću skrivenog obrasca za unos, atributa podataka ili njihovog prosljeđivanja kroz kolačiće ili sesiju.
Ključna točka je da ne možete proslijediti ime izravno, tj. captcha polje se zove "captcha_mysite", a skriveno polje sadrži vrijednost "captcha_mysite" ili "site". Mora biti šifriran, a dešifriranje se mora izvršiti korištenjem istog algoritma kao kod šifriranja.
Budući da će algoritam enkripcije biti pohranjen na poslužitelju, napadač ga neće moći lako prepoznati (osim ako ne dobije pristup sadržaju skripte poslužitelja).
Usput, umjesto imena polja dovoljno je koristiti nasumični niz znakova, što je vrlo jednostavno dobiti u PHP-u pomoću funkcije uniqid().
Zaobići captcha pomoću sesija
Ako implementacija captcha uključuje pohranu točnog odgovora u sesiji, a sesija se ne kreira iznova nakon svakog unosa captcha, tada napadači mogu saznati identifikator sesije i saznati šifriranu vrijednost CAPTCHA.
Stoga mogu jednostavno odabrati algoritam šifriranja i koristiti ga za daljnje automatizirane brute force napade pomoću botova.
Također, ako u kodu za provjeru odgovora korisnika na poslužitelju programer ne provjeri je li varijabla sesije prazna u kojoj se prenosi odgovor korisnika, tada haker može koristiti identifikator nepostojeće sesije za koji će varijabla jednostavno ne postoji.
Zbog ovog propusta, takvi captcha se mogu riješiti umetanjem nepostojećih ID-ova sesije i praznih captcha vrijednosti.
Zaštita: Bez obzira koliko se netko želi odreći korištenja sesija za prijenos captcha vrijednosti, ovo je vrlo visoka cijena koju treba platiti za osiguranje sigurnosti captcha od hakiranja. Stoga sesije, vrijednosti njihovih varijabli i identifikatore jednostavno treba pažljivo zaštititi kako haker ne bi mogao koristiti informacije pohranjene u njima.
Također je vrijedno izvršiti sve banalne, ali tako potrebne provjere varijabli za postojanje i prazninu njihovih vrijednosti.
Krekiranje captcha zbog tajnih podataka u kodu klijenta
Ponekad se captcha izrađuje na takav način da se prilikom prijenosa korisničkih vrijednosti na poslužitelj koristi enkripcija pomoću takozvane "soli", tj. dodavanje ID-a sesije, IP vrijednosti ili drugih jedinstvenih podataka u CAPTCHA vrijednost. Često to može biti jednostavan slučajni niz simbola.
A glavni uvjet za rješavanje captcha je da šifrirana CAPTCHA vrijednost koju je unio korisnik odgovara svojoj ispravnoj vrijednosti, koja je generirana prilikom otvaranja stranice i snimljena u sesiji ili drugoj pohrani za daljnji prijenos na poslužitelj.
Podudarnost ovih vrijednosti najvjerojatnije će ukazivati na to da je korisnik stvarna osoba koja je unijela captcha generiranu tijekom komunikacijske sesije, na kraju koje ju je riješio i to s istog računala na kojem je prvi put vidio captcha.
Ako se te jedinstvene vrijednosti ne podudaraju, najvjerojatnije je captcha automatski unio robot.
Ovaj mehanizam za zaštitu stranice od botova je dobro osmišljen, ali ponekad su te tajno generirane vrijednosti prisutne u HTML kodu stranice, odakle se mogu lako pročitati. Stoga možete konfigurirati njihovo automatsko čitanje pomoću programa i isti automatski unos prilikom prolaska captcha.
Zaštita: Kada sami implementirate CAPTCHA, morate uzeti u obzir ovu sigurnosnu rupu, a ako za rješavanje captcha trebate uzeti u obzir vrijednost nekog jedinstvenog identifikatora, onda morate paziti da on nije spomenut ni u JS ili u HTML kodu koji se može vidjeti u pregledniku.
Također morate ponovno stvoriti ID sesije i generirati druge jedinstvene vrijednosti (uključujući samu CAPTCHA, ako je moguće) nakon svakog pokušaja unosa captcha, što će vas spasiti ili barem otežati hakerima da hakiraju stranicu automatski odabire točnu vrijednost.
Drugi način zaštite je, ako je moguće, blokiranje radnji prema IP-u i broju pokušaja.
Kako zaobići captcha bez promjene IP-a
Brute force napad učinkovit je način za zaobilaženje captcha ne samo kada se provodi s fiksnim skupom zadataka i njihovih rješenja.
Još jedna pogreška u implementaciji CAPTCHA-e, koja je čini ranjivom na automatizirane napade, je nepostojanje vremenskih ograničenja za rješavanje captcha-e i broja pokušaja.
U ovom slučaju bit će moguće zaobići captcha pomoću posebnog programa koji će prikupiti bazu podataka pitanja ili odabrati odgovore s dostupnog popisa. Štoviše, sve će se to odvijati automatski zahvaljujući suvremenim metodama strojnog učenja i razvoju na području umjetne inteligencije koji je napravio veliki iskorak posljednjih godina.
Zaštita: Kada implementirate istinski sigurnu captcha, trebate ograničiti vrijeme za odgovor i broj pokušaja rješavanja captcha s jedne IP adrese kako biste blokirali napade robota grubom silom.
Na primjer, ako je između generiranja captcha i korisnikovog odgovora prošlo manje od 2 sekunde, tada takvog korisnika smatrajte robotom i na zaslonu mu prikažite odgovarajuću poruku. Tekst poruke treba sadržavati upute stvarnim korisnicima da unos ne treba raditi tako brzo (u slučaju da je osoba fizički bila u mogućnosti brže unijeti odgovor).
Ako je to stvarno bila osoba, tada će poduzeti odgovarajuće mjere, a ako je robot, nastavit će pokušavati zaobići captcha.
Takve pokušaje treba smatrati netočnima, s njihovim brojem zabilježenim u varijabli sesije i blokiranjem daljnjih radnji za korisnike njihovim IP-om. Također bi bilo dobro za takve blokirane adrese izdati poruku za kontakt s administratorom umjesto captcha ako je blokirani korisnik stvarna osoba.
A još jedan učinkovit način borbe protiv botova je uvođenje ograničenja za određene radnje na web mjestu. Na primjer, jedna registracija s jednog IP-a. Ovdje je glavna stvar ne pretjerati i ne doseći ograničenja broja komentara za jednog jedinstvenog korisnika.
No, zapravo, ove mjere neće puno pomoći zahvaljujući postojanju proxy poslužitelja.
Zaobilaženje captcha pomoću proxyja
Čak iu situacijama kada se još uvijek događa blokiranje velikog broja pokušaja rješavanja captcha putem IP-a, ova mjera ne pruža 100% zaštitu od robota.
Sve je to zbog proxy poslužitelja i anonimnih programa koji rade na njihovoj osnovi, a koji su poznati možda svakom modernom učeniku koji traži načine za zaobilaženje roditeljske kontrole i blokiranje zabranjenih stranica.
Anonimizatori vam omogućuju skrivanje računalnih podataka prilikom korištenja stranice, uključujući dragocjenu IP adresu, pomoću koje se klijent može identificirati i blokirati.
Shema je jednostavna: korisnik se spaja na proxy poslužitelj, gdje se njegovi podaci šifriraju ili zamjenjuju s drugima (npr. može vam se dodijeliti IP adresa iz druge zemlje), a zatim se postavlja zahtjev ciljnoj stranici na koju klijent se želi povezati.
Dakle, napadač može lako zaobići sve vaše IP blokove i birat će ispravno rješenje za captcha onoliko dugo koliko mu je potrebno.
A na nekim web stranicama gdje se captcha pojavljuje samo pri izvođenju velikog broja identičnih radnji (na primjer, u VK pri dodavanju velikog broja prijatelja), možda se uopće neće pojaviti ako se svaka radnja izvodi s novog IP-a i s vremenskim ograničenjima između pokušaja rješavanja captcha, tako da je ponašanje bota slično ponašanju stvarne osobe.
Ova metoda korištena je prije pola stoljeća pri pisanju prvih programa koji su prošli Turingov test, čija je implementacija CAPTCHA.
Usput, opisana načela koriste svi trenutno poznati programi za automatski unos captcha. Za promjenu IP adrese povezivanja na stranicu koriste se besplatnim i komercijalnim bazama podataka proxy poslužitelja, koje nije teško dobiti ako imate internet.
Zaštita: Nažalost, ne postoji način da se zaštitite od captcha hakiranja praćenjem napadača po IP-u, zahvaljujući prisutnosti anonimizatora i otvorenih PROXY baza podataka.
Jedina nada je da sami PROXY poslužitelji mogu nametnuti ograničenja na broj IP adresa koje koristi jedan korisnik i broj veza svakog od njih.
Iz tog razloga ne biste trebali u potpunosti napustiti IP provjeru. Zahvaljujući vašim mjerama opreza koje štite od captcha zaobilaženja, prije ili kasnije moći ćete blokirati hakera na jednoj ili drugoj razini.
I najispravniji zaključak u ovoj situaciji bio bi koristiti, osim ove metode zaštite od captcha hakiranja, druge koje pomažu razotkriti hakera na drugi način.
Automatski unos captcha pomoću emulatora radnji
Ako za dovršetak CAPTCHA morate izvršiti određenu radnju (klik na gumb, pomicanje klizača itd.), tada također možete zaobići captcha u ovoj situaciji oponašanjem potrebne radnje (klik na određeni kontrolni element ili drugu radnju ).
Jedini problem s kojim se haker može susresti u ovoj situaciji jest kako programski pronaći željenu kontrolu na stranici.
Najlakši način da to učinite je pomoću njegovih koordinata ili položaja u odnosu na neke statične elemente izvora.
Zaštita: Da biste se zaštitili od automatskog unosa captcha u ovom slučaju, morate stalno mijenjati položaj kontrolnog elementa koji vam omogućuje rješavanje CAPTCHA. Oni. Ako od tri osobe trebate odabrati samo onu čija je ruka podignuta, ni u kojem slučaju ne smije biti stalno na istom mjestu.
Pa, u slučajevima drugih implementacija captcha, kada to nije moguće (primjerice, za gumb za preuzimanje ili polje "Ja nisam robot", koje može imati samo jedan točan odgovor), potrebno je koristiti druge metode zaštite koji može spriječiti robote da automatski rješavaju captcha.
Kako zaobići captcha pomoću visoke tehnologije
Pogledali smo slabe točke CAPTCHA implementacija, koje su sigurnosne rupe i najčešće su u praksi. Međutim, u praksi, čak i najbesprijekorniji captcha ponekad ne mogu zaštititi resurs koji ih koristi od hakerskih napada.
Ovakvi slučajevi hakiranja captcha izravna su posljedica modernog napretka i stupnja razvoja računalne tehnologije koja se, kao što znamo, ne koristi uvijek u dobre svrhe.
Dakle, kako izbjeći captcha pomoću moderne tehnologije?
Zaobići captcha pomoću OCR-a
OCR (Optical Character Recognition) je tehnologija za prepoznavanje tiskanog ili tipkanog teksta za njegovu daljnju upotrebu u elektroničkom obliku. Najpoznatiji softver koji implementira ovu tehnologiju je Adobe FineReader.
Uspješno se koristi u kreiranju programa za automatski unos captcha koji uspješno prepoznaju i rješavaju grafičke captcha, za čije dovršenje je potrebno unijeti niz znakova prikazan na slici.
Hakeri, naravno, ne koriste Adobe FineReader (iako ih možda ima 🙂), ali pišu posebne skripte koje, koristeći razne gotove biblioteke za rad sa slikama ili koristeći mogućnosti jezika za rad s grafikom, prepoznaju captcha i proizvesti niz znakova, prikazan na njemu.
Na internetu sam pronašao dovoljan broj primjera takvih skripti. Princip njihovog rada bio je sljedeći:
- čišćenje slike koja se koristi u grafičkim CAPTCHA od raznih šumova;
- cijepanje prikazanog niza u pojedinačne znakove;
- usporedba svakog od njih s pripremljenom slikom (uzorkom).
Grafički uzorci pripremljeni su uzimajući u obzir različite fontove i moguća izobličenja (nagibi, rotacije itd.).
Kao što možda pretpostavljate, najvažnije je sastaviti bazu slika simbola u raznim varijantama, s kojima će se zatim usporediti captcha simboli.
Zaštita: zapravo, kako bi se zbunili OCR programi, koriste se neugodni šumovi i izobličenja znakova na slikama, zbog kojih je tekst ponekad teško razumljiv čak i osobi. No, u slučaju robota i to dobro funkcionira, zbog čega OCR algoritmi ne mogu dati 100% točan rezultat, što pozitivno utječe na sigurnost captcha i stranica koje je koriste.
Ako se odlučite za korištenje grafičkih captcha, za koje morate unijeti znakove prikazane na slici, tada morate slijediti sljedeće preporuke:
- Simboli na različitim CAPTCHA-ama moraju imati različite koordinate.
- Ako koristite bilo kakve efekte buke za stvaranje pozadine, tada njezina boja mora odgovarati boji znakova, inače se pozadina može lako ukloniti označavanjem znakova za prepoznavanje.
- Razmak između znakova trebao bi biti minimalan. Možete ih čak i prekrivati jedne na druge, ali samo bez fanatizma, tako da ih pravi korisnici mogu prepoznati.
- Koristite različite fontove kako biste otežali odabir pravog za prepoznavanje.
- Iskrivite likove na sve moguće načine, promijenite njihov stil i debljinu.
- Koristite posebne biblioteke koje vam omogućuju promjenu znakova na takav način da će biti nemoguće odabrati font za njihovo softversko prepoznavanje. Primjer takvog rješenja je captcha od kreatora resursa captcha.ru, koji se generira pomoću autorovog algoritma za izobličenje valovitog simbola.
Sve ove mjere omogućuju kompliciranje prepoznavanja grafičkog captcha za OCR sustave i smanjuju broj automatskih unosa captcha.
Kako prenijeti captcha pomoću neuronskih mreža
Ako je OCR prilično stara tehnologija (prvi patentirani uređaji poznati su početkom 20. stoljeća), onda su se umjetne neuronske mreže (ANN) pojavile tek u drugoj polovici prošlog stoljeća (50 godina je značajna starost za tehnologije: )).
Upravo su ANN algoritmi temelj umjetne inteligencije (AI), čiji je cilj stvaranje programa i uređaja obdarenih kreativnim funkcijama, tj. stvaranje čovjeka stvorenog čovjekom.
Trenutno se umjetna inteligencija neprestano razvija i svaki dan se pojavljuju novi izumi koji imaju do sada neviđena svojstva.
Na posljednjoj konferenciji o neuronskim mrežama na kojoj sam sudjelovao objavljeno je da je Google, koji je aktivno uključen u razvoj na ovom području, već najavio usluge javnog oblaka temeljene na ANN-ovima.
Pomoću njih možete:
- prepoznavati objekte na fotografijama (od spola prikazane osobe i marke njezinih traperica do toga kojoj igri pripada analizirana slika, s cjelokupnom paletom boja, nazivom lokacije i onoga što se na njoj događa);
- upravljanje uređajima glasom i gestama;
- pisati komentare za videozapise na temelju onoga što se događa u videozapisu itd.
Naravno, s ovim mogućnostima, stvaranje programa za automatski unos captcha pomoću ANN načela nije teško za upućene ljude.
Jedan takav proizvod razvio je Vicarious 2014. godine. Neuronska mreža koju je razvila sposobna je prepoznati captcha u 90% slučajeva (da vas podsjetim da je za rješavanje klasičnog Turingovog testa, a to je CAPTCHA, potreban samo 1% točnih odgovora).
Zaštita: Nažalost, nemoguće je zaštititi se od ove vrste napada. I srećom, ANN iz Vicariousa neće se koristiti za ciljane napade za zaobilaženje captcha na web stranicama, jer... preskup je za tako male zadatke (sami proizvođači kažu da se radi o klasteru više servera). Njegovo glavno područje primjene je rješavanje raznih problema u medicini i robotici.
A razbijanje captcha uz njegovu pomoć samo je demonstracija njegovih mogućnosti.
Ali vrijeme prolazi, tehnologije koje su još jučer bile skupe postaju sve jeftinije, a nije daleko vrijeme kada će ANN proizvodi postati široko rasprostranjeni. Stoga je sasvim moguće da će u budućnosti postojati botovi za automatski unos captcha, opremljeni umjetnom inteligencijom.
Zaobići captcha koristeći javne usluge
Kako su se OCR i AI sustavi razvijali, složenost grafičkih captcha postajala je sve složenija, što je omogućilo njihovim programerima da ulože ogromne napore tijekom implementacije. No, ipak su se pokazali uzaludnim, jer... nisu pružili 100% zaštitu za stranice od automatiziranih napada.
Stoga je Google krenuo, čini mi se, pravim putem i odlučio jednostavno izmisliti novi noCAPTCHA standard, odustajući od ručnog unosa znakova sa slika.
Pri razvoju reCAPTCHA noCAPTCHA koristili smo iskustvo borbe s robotima u eri rođenja captcha i modernog razvoja na području umjetne inteligencije, što nam omogućuje da osiguramo odgovarajuću razinu sigurnosti stranice, ali i da ne zagorčavamo život za korisnike interneta.
No, unatoč činjenici da se ovaj standard pojavio relativno nedavno, 2015. godine, već je pronađen način za njegovo automatsko rješavanje. I ne leži u korištenju umjetne inteligencije.
Sve je mnogo banalnije - da biste prošli Google reCAPTCHA, samo trebate koristiti Googleove vlastite usluge prepoznavanja slika i govora.
Malo je vjerojatno da će prepoznavanje slike u slučaju reCAPTCHA v2 (ista noCAPTCHA) pomoći, jer za grafičke zadatke potrebno je odabrati slike koje sadrže potrebne objekte, a ne unositi prikazane simbole, kao što je to bio slučaj u prethodnoj verziji.
No, usluge usluge Google Speech Recognition, koja je jedno od Googleovih dostignuća u području umjetne inteligencije, a koja je spomenuta u prethodnoj metodi zaobilaženja captcha, bit će vrlo korisne. Budući da usluga pruža API, stvaranje aplikacije na temelju njega nije teško.
Zaštita: Nažalost, u ovoj situaciji, kao i u prethodnoj, gdje su ANN-ovi korišteni za zaobilaženje captcha, neće biti moguće zaštititi od captcha zaobilaženja. Jedina pozitivna točka opet je relativna dostupnost odgovarajućih usluga, jer... Google vam daje probno razdoblje od samo 300 USD za njihovo korištenje.
Nakon njihovog završetka usluge se plaćaju. Ali to vjerojatno neće biti prepreka hakerima, jer... Oni mogu zaraditi još više od napada koji koriste automatski unos captcha.
Dakle, u slučaju korištenja servisa za prepoznavanje govora i slike za probijanje captche, jedina nada ostaje u budnosti njihove administracije koja može blokirati račun ako otkrije da se koristi isključivo u opisane svrhe.
Kako prenijeti captcha koristeći ljudski rad
Kako bih dovršio popis načina za zaobilaženje captcha, odlučio sam razmotriti jedan koji se ne uklapa ni u jednu od gore navedenih kategorija.
Ne temelji se na iskorištavanju ranjivosti CAPTCHA implementacija i korištenju modernih tehnologija, već se temelji na prirodnoj ljudskoj želji za zaradom.
U isto vrijeme, ova metoda pomaže razbiti captcha bilo koje složenosti u 100% slučajeva i, štoviše, učiniti to bez puno financijskih, fizičkih i moralnih napora.
Govorimo o jednoj od modernih metoda zarađivanja novca - koja se, usput, pojavila otprilike u vrijeme kada je CAPTCHA postalo teško prepoznati programski.
Njegova bit je da se stvara posebna usluga koja navodno omogućuje ljudima da zarađuju novac (uglavnom mali, koji može biti dovoljan samo za Indijce ili školarce koji traže bilo koji način da dođu do novca) ručnim rješavanjem captcha.
A svatko tko treba njihova rješenja može pružiti ove captcha.
Uglavnom, radi se o hakerima koji odgovore stvarnih korisnika koriste u svoje sebične svrhe:
- automatizacija zarade;
- slanje spama;
- kupnja ulaznica i robe u online trgovinama za skuplju preprodaju;
- hakiranje web stranice itd.
Kako bi proces bio praktičniji, usluge čak pružaju API, zahvaljujući kojem se captcha može dovršiti online. Oni. korisnik unosi captcha kroz uslugu, au tom trenutku njegov odgovor se koristi za potvrdu online kupnje.
Mnogi obrtnici u području programiranja, usput, mogu koristiti ljudski rad apsolutno besplatno. Na primjer, ovako zarađuju vlasnici porno stranica, servisa za razmjenu datoteka, torrenta i drugih sumnjivih izvora koji pružaju besplatne usluge.
Korisnicima navodno besplatno daju vrijedan sadržaj, tražeći od nas potvrdu da ste osoba, a ne robot, uz pomoć kojeg napadači koriste njihove proizvode za vlastite potrebe.
Naravno, ne razmišljamo dugo, jer... dobiti priliku da potpuno besplatno preuzmete dugo očekivani film u HD kvaliteti tako što ćete označiti neki kvadratić u polju "Ja nisam robot" samo je sitnica. U međuvremenu, vaša radnja API-ja koristi se za zaobilaženje captcha na drugoj stranici treće strane.
Stoga moral: uvijek zapamtite da je besplatan sir samo u mišolovci i da ništa nije besplatno.
Zaštita: Nažalost, danas je ovo najučinkovitija metoda zaobilaženja captcha, protiv koje nema načina zaštite. A to se neće dogoditi sve dok ne nestanu oni koji teškom mukom žele zaraditi novčiće i ljubitelji besplatnog sadržaja, odnosno najvjerojatnije nikada.
Zaobilaženje captcha - zaključci
Dok sam pisao ovaj članak, došao sam do zaključka da captcha, unatoč izvrsnoj ideji s kojom je zamišljena, naime zaštiti web stranice od robota, odavno više ne ispunjava svoje funkcije.
Ako se još uvijek možete zaštititi od automatiziranih captcha premosnica koje koriste slabe točke u CAPTCHA implementacijama tako što ćete ukloniti sve probleme s njihovom sigurnošću, onda je jednostavno nemoguće zaštititi se od unosa captcha od strane stvarnih korisnika za novac.
Jedini spas u cijeloj ovoj situaciji je to što za ovakav posao plaćaju smiješne svote novca, a malo ljudi to pristaje raditi, pa razmjeri kibernetičkih napada automatskim unosom captcha nisu tako katastrofalni koliko bi mogli biti.
Također, "nepobjedive" metode zaobilaženja captcha uključuju tehnologije umjetne inteligencije, koje se aktivno razvijaju posljednjih godina.
U isto vrijeme, kako bi hakerima zagorčali život, captcha se konstantno “napumpava” novim funkcionalnostima, što njihovo ispunjavanje čini teškim i zamornim zadatkom čak i za stvarne korisnike stranica.
Zapamtite isti Google reCAPTCHA: označite okvir, ako se Googleu nešto nije svidjelo, odaberite potrebne slike (usput, još uvijek imam problema s prometnim znakovima, jer takav zadatak mogu izvršiti negdje s 5 pokušaja). Je li puno gnjavaže ostaviti komentar ili se registrirati na stranici? Lakše je pronaći drugi izvor...
No, unatoč ovim mjerama opreza, captcha se trenutno ne može nazvati idealnim načinom zaštite od robota, zbog čega je mnogi kritiziraju i pokušavaju tražiti alternative.
Istodobno, činjenica da se CAPTCHA i dalje koristi kao tehnologija kibernetičke sigurnosti i da se neprestano razvija, uključujući i Google, koji neće ulagati novac u sumnjive projekte, govori da će ova tehnologija još dugo postojati.
Stoga, prilikom razvoja i podrške postojećim stranicama koje koriste captcha, potrebno je aktivno koristiti navedene preporuke kako bi se hakerima što više otežalo hakiranje njihovog softvera.
I ne zaboravite podijeliti svoje mišljenje o postojećim metodama zaobilaženja captcha i mjerama zaštite od njih u komentarima ispod članka :)
p.s.: ako trebate web stranicu ili trebate napraviti izmjene na postojećoj, ali nemate vremena ili želje za to, mogu ponuditi svoje usluge.
Više od 5 godina iskustva profesionalni razvoj web stranice. Raditi sa PHP, OpenCart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, Reagirati, Kutni i druge tehnologije web razvoja.
Iskustvo u razvoju projekata na različitim razinama: odredišne stranice, korporativne web stranice, Internet trgovine, CRM, portali. Uključujući podršku i razvoj HighLoad projekti. Svoje prijave šaljite na e-mail cccpblogcom@gmail.com.