亚洲国产精品乱码一区二区,美景房屋2免费观看,哎呀哎呀在线观看视频高清国语,从镜子里看我是怎么C哭你

Article / 文章中心

破解谷歌最新ReCaptcha成功率高達(dá)91%的驗(yàn)證反制技術(shù)

發(fā)布時(shí)間:2023-01-25 點(diǎn)擊數(shù):2801

unCaptcha項(xiàng)目(https://github.com/ecthros/uncaptcha)成立于2017年4月,對(duì)抗谷歌ReCaptcha的成功率達(dá)到85%。而谷歌隨后也發(fā)布了安全更新,對(duì)ReCaptcha進(jìn)行了以下主要修改:

  • 更強(qiáng)的對(duì)瀏覽器自動(dòng)化的檢測(cè)

  • 口頭短語(yǔ)代替數(shù)字

這些變化最初成功地阻止了uncaptcha攻擊。然而,到了2018年6月,這些防御已被我成功化解。六個(gè)月前,我們就已經(jīng)與ReCaptcha的團(tuán)隊(duì)聯(lián)系上,他們也完全了解其中原理。在他們的許可下,我們發(fā)布了利用代碼。

unCaptcha2

得益于音頻驗(yàn)證的變化,現(xiàn)在繞過ReCaptcha比以往都更容易。繞過代碼現(xiàn)在只需要一個(gè)簡(jiǎn)單請(qǐng)求將谷歌的驗(yàn)證音頻發(fā)送到一個(gè)免費(fèi)的、公開的“語(yǔ)音to文字”接口,就可以實(shí)現(xiàn)對(duì)captcha大約90%的繞過成功率。

雖然最新的ReCaptcha會(huì)對(duì)抗瀏覽器自動(dòng)化引擎Selenium,但是unCaptcha2可以使用屏幕點(diǎn)擊器移動(dòng)鼠標(biāo)到屏幕上的指定像素,整個(gè)移動(dòng)過程和人一樣。這里使用的方法是-移動(dòng)坐標(biāo)需要為每個(gè)新用戶單獨(dú)定制,當(dāng)然這也不是最可靠的。

破解方法

unCaptcha2所使用的方法非常簡(jiǎn)單:

  1. 先打開谷歌的ReCaptcha演示網(wǎng)站

  2. 導(dǎo)航到ReCaptcha的“音頻驗(yàn)證”

  3. 下載音頻驗(yàn)證的音頻

  4. 將音頻提交到“語(yǔ)音to文字”接口

  5. 等待接口響應(yīng)并輸入答案

  6. 點(diǎn)擊提交按鈕查看是否成功繞過

演示

動(dòng)圖地址:https://user-images.githubusercontent.com/14065974/45004579-df021180-afbb-11e8-8598-177159ed09b4.gif

如何使用

由于unCaptcha2必須使鼠標(biāo)移動(dòng)到屏幕上的特定坐標(biāo),因此需要根據(jù)你的設(shè)置更新坐標(biāo)參數(shù)。這些坐標(biāo)位于run.py的頂部。如果測(cè)試環(huán)境為L(zhǎng)inux,你可以使用xdotool getmouselocation --shell命令來查找關(guān)于鼠標(biāo)坐標(biāo)的相關(guān)信息。

你還需要為你選擇的“語(yǔ)音to文字”接口設(shè)置憑證。由于谷歌、微軟和IBM的“語(yǔ)音to文字”系統(tǒng)效果似乎很好,所以這些系統(tǒng)已經(jīng)包含在文件queryAPI.py中。你必須根據(jù)需要設(shè)置用戶名和密碼;對(duì)于Google的接口,你必須根據(jù)包含你Google應(yīng)用憑證的文件設(shè)置環(huán)境變量(GOOGLE_APPLICATION_CREDENTIALS)。

最后,使用pip install-r dependencies.txt安裝依賴項(xiàng)。

責(zé)任說明

我們于2018年6月聯(lián)系了Recaptcha團(tuán)隊(duì),告知Recaptcha系統(tǒng)并不安全。我們還演示了這種攻擊的完整步驟。我們?cè)诖酥蟮却?個(gè)月,以方便Recaptcha團(tuán)隊(duì)修復(fù)這個(gè)問題。recaptcha團(tuán)隊(duì)現(xiàn)已同意我們發(fā)布利用代碼。

這種繞過攻擊不被認(rèn)為是谷歌漏洞懸賞計(jì)劃的一部分。