[captcha] Google reCAPTCHA v2는 뒤에서 어떻게 작동합니까?

이 게시물은 Google ReCaptcha v2 (최신 버전 아님)에 관한 것입니다.

최근 Google 은 사용자가 클릭만으로 “보안 문자”를 전달할 수 있는 단순화 된 “보안 문자”확인 시스템 ( 비디오 )을 도입 했습니다.

그러나 클릭 한 번으로 봇과 사람을 어떻게 구별 할 수 있습니까?

이 응답 먼저 “reCAPTCHA를”에 숨겨진 입력 요소에 숨겨진 키 첨부합니다를 생성한다 (유사한 구현을 가정 함), 또한 느리게 선택란 렌더링 (아닌 실제 선택란을 input하지만 div동일한 키) 어느 클릭하면 XHR (비동기 요청)을 Google 백엔드 서버로 전송하여 유효한 확인 키 (예 : 양식을 제출할 때 확인해야하는 키)로 표시합니다.

그러나 봇이 클릭을 자동화 할 수없는 이유는 무엇입니까 (적어도 브라우저 기반 봇)?

어떻게 작동할까요?



답변

이것은 추측이지만 그들이 사용하는 “위험 분석 엔진”에 대한 Google의 참조를 기반으로합니다 ( http://googleonlinesecurity.blogspot.com/2014/12/are-you-robot-introducing-no-captcha.html )

클릭하기 전에 어떻게 행동했는지, 커서가 확인으로 이동하는 방법 (유기 경로 / 가속), 확인란의 클릭 한 부분 (임의의 장소 또는 매번 중앙에서 죽은 경우), 브라우저 지문, Google 쿠키 및 콘텐츠, 지문 또는 계정과 연결된 클릭 위치 기록 등이 감지 될 경우

지속적으로 학습되는 패턴 감지 엔진을 속이는 방식으로 “유기적”행동을 위조하는 것은 상당히 어렵습니다. 확실하지 않은 경우 실제 CAPTCHA 문자열과 일치하라는 메시지가 계속 표시됩니다.


답변

reCAPTCHA에 대한 몇 가지 테스트를 통해 새로운 논문이 발표되었습니다.

https://www.blackhat.com/docs/asia-16/materials/asia-16-Sivakorn-Im-Not-a-Human-Breaking-the-Google-reCAPTCHA-wp.pdf

일부 주요 특징 :

  • Google 리소스가있는 사이트를 탐색하여 +9 일 동안 쿠키를 활성화하면 확인란을 클릭하기 만하면 reCAPTCHA를 전달할 수 있습니다.
  • IP 당 요청에 따른 제한은 없습니다.
  • 브라우저의 사용자 에이전트는 실제이어야하며 Google은 사용자 에이전트와 일치하는지 확인하기 위해 사용자 환경에 대해 테스트를 실행합니다.
  • Google은 브라우저가 캔버스를 렌더링 할 수 있는지 테스트합니다.
  • 화면 해상도 및 마우스 이벤트는 결과에 영향을 미치지 않습니다.

Google은 이미 쿠키 취약성을 수정했으며 IP를 기반으로하는 일부 동작을 제한하고있을 것입니다.

또 다른 흥미로운 발견 은 Google이 JavaScript로 VM을 실행하여 많은 reCAPTCHA 코드와 동작을 혼란스럽게한다는 것입니다. 이 VM은 botguard라고하며 reCAPTCHA 외에 다른 서비스를 보호하는 데 사용됩니다.

https://github.com/neuroradiology/InsideReCaptcha

2017 업데이트

NOCAPTCHA reCAPTCHA 오디오 문제를 해결하는 데 85 %의 정확도를 달성 한 WOOT 2017에 최근 논문 (8 월부터)이 게시되었습니다.

http://uncaptcha.cs.umd.edu/papers/uncaptcha_woot17.pdf

2018 업데이트

Google은 웹 사이트별로 보정 된 “인간 점수 예측 엔진”처럼 보이는 reCAPTCHA v3을 도입했습니다. reCAPTCHA와 웹 사이트 소유자가 reCAPTCHA를 작성하기 전에 사람과 봇의 행동을 이해하는 데 도움이되도록 웹 사이트의 다른 페이지 (Google Analytics 스크립트처럼 작동)에 설치할 수 있습니다.

https://www.google.com/recaptcha/intro/v3beta.html


답변

내 봇은 ReCaptcha와 잘 어울립니다.

여기 내 솔루션.

봇이이 단계를 수행하게하십시오 :

먼저 휴먼 마우스 이동 기능을 작성하여 마우스를 B- 스플라인처럼 이동 시키십시오 (소스 코드 요청). 이것이 가장 중요한 포인트입니다.

https://www.purevpn.com 과 같은 VPN을 더 나은 결과로 사용 하십시오.

모든 Recpatcha에 대해 다음 단계를 수행하십시오.

  1. VPN 스위치 IP를 먼저 사용하는 경우

  2. 모든 브라우저 쿠키를 지 웁니다.

  3. 모든 브라우저 캐시 지우기

  4. 다음 Useragent 중 하나를 임의로 설정하십시오.

    ㅏ. Mozilla / 5.0 (호환 가능; MSIE 9.0; Windows NT 6.1; Trident / 5.0)

    비. Mozilla / 5.0 (Windows NT 6.1; WOW64; rv : 44.0) Gecko / 20100101 Firefox / 44.0

5 휴먼 마우스로 마우스 이동 RandomPoint에서 다른 10×10 랜덤 범위로 매번 로봇 이미지가 아닙니다.

  1. 그런 다음 임의의 지연 시간으로 클릭하십시오.

    WM_LBUTTONDOWN

    WM_LBUTTONUP

  2. Image Captcha에서 스크린 샷 찍기

  3. 에 스크린 샷 보내기

    http://www.deathbycaptcha.com

    또는

    https://2captcha.com

그들이 해결하게 해주세요.

  1. 보안 문자 해결사로부터 클릭 조정을받은 후 휴먼 마우스 이동 기능을 사용하여 이동하고 클릭하십시오 보안 문자 이미지

  2. 휴먼 마우스 이동 기능을 사용하여 Recaptcha 확인 버튼으로 이동하고 클릭하십시오.

75 %에서 모든 시도 Recaptcha가 해결됩니다.

치어스 구글


답변

이것이 공개 기술이 아니기 때문에 내 추측을 제시 할 수 있습니다.

구글은 인간과 로봇을 구별하기 전, 도중, 후에 정보를 결합하는 것이라고 말한다. 그러나 확인란의 마지막 클릭에 더 관심이 있습니다.

POST 데이터 (해결 된 CAPTCHA)에는 사용자 행동으로 계산 된 문자열 인 지문이라는 필드가 있습니다. 해당 확인란 위치에 대한 필드가있을 수 있습니다. 이 확인란은 Google 백엔드에서 임의로 생성하고 내 사이트의 공개 키로 암호화 된 좌표계에 있다고 생각합니다. 따라서 로봇은이 상자에 대한 위치를 “추측 / 계산”할 수 있지만 사이트 소유자가 개인 키를 사용하여 GET 쿼리를 수행하여 사용자 신원을 확인하면 Google은 좌표계를 해독하고 사용자가 올바른 위치를 클릭하면 말합니다. 따라서 Google 및 사이트 소유자만이 소유 한이 임의의 좌표계에서 하나의 가능한 오른쪽 클릭 (일부 오프셋과 사각형 상자) 위치.


답변

Google은 reCaptcha와 함께

Canvas fingerprinting

쿠키없이 사용자 / 브라우저를 고유하게 인식합니다!


답변