有没有使用任何编程方法来击败reCAPTCHA?
我很有兴趣看到证据和潜在的演示,特别是reCAPTCHA已被完全自动化,无人化的方法淘汰.
澄清一点,不是寻找以任何方式涉及人类的reCAPTCHA作弊解决方案,是否负责填写CAPCHA,色情搜索者或Mechanical Turk.
我也不是在寻找reCAPTCHA的替代品,比如选择动物类型,或者背景字段或javascript技巧.
我注意到这里几乎所有的答案都与CAPTCHA 概念的无效性有关- 原则上 - 虽然我非常同意它们,事实上几个月前在OWASP上发表过一次演讲,解释了这一点 - 这个问题非常具体所以我会提供演示.
但首先,我将重申那个示范,重新阅读其他评论,因为CAPTCHA毫无意义且无用,与实施无关......
但实际上,请查看CAPTCHA Killer.您可以上传CAPTCHA图像,如果不是立即,它将自动提供OCR答案.它还提供了一个API(我想,REST,但也许是SOAP).我个人尝试了很多reCAPTCHA图像,实际上它是一些最容易(或至少最快)的图像.
更新:CAPTCHA Killer的网站现已被取消,显然面临法律压力.有关该主题的完整概述,请参见http://captcha.org/.
是的,OCR不是打破CAPTCHA保护网站的最佳方式 - 还有许多其他更好的方法.
您可能对4chan如何击败reCAPTCHA的详细报告感兴趣,并用它来操纵Time.com的年度TIME 100民意调查结果.
黑客Recaptcha(又名'阴茎洪水')
下一个使用的策略是看看他们是否可以在reCAPTCHA实现中找到一个缺陷.他们发现有关reCAPTCHA的一件事是它总是向用户提供两个单词用于解码 - 一个单词是reCAPTCHA系统已知的控制单词,而另一个单词是未知单词(reCAPTCHA使用人来帮助纠正OCR错误).维基百科描述了这一过程:"扫描文本由两种不同的光学字符识别程序进行分析; 如果程序不同意,可疑单词将被转换为CAPTCHA.该单词与已知的控制字一起显示,并由人类标记.人类法官一致给出单一标签的那些词被回收作为控制词".2iasdo4 Anonymous所知道的是,如果他们总是使用相同的单词标记未知的扫描文本 - 如果他们这样做了数千次,那么很大一部分未知单词会被他们的单词贴上标签.他们所要做的就是查看验证码中的两个单词,为"简单"单词输入正确的标签(可能是两个光学扫描仪会同意的标签)并输入"阴茎"字样.很难的.如果他们经常做到这一点,那很快就会有相当大比例的图像被标记为"阴茎"并且能够恢复自动回报的能力(一种副作用,即Anonymous上没有丢失的,是未来几年的概念)会有一些数字书籍在整个文本中随机插入"阴茎"这个词.更新:我问过reCAPTCHA的首席工程师Ben Maurer关于这次'阴茎泛滥'的攻击,Ben说他们已经预料到这种类型的攻击他们有许多保护措施可以防止阴茎穿透reCAPTCHA屏障.
优化reCAPTCHA
将"阴茎"这个词写入文本的概念很有吸引力,匿名团队知道时钟正在滴答作响,如果他们要恢复消息,他们没有时间等待自动驾驶仪重新上线 - 他们将不得不手动投票,很多次.所以他们需要能够尽可能快地输入验证码.他们制定了一套指南,使他们能够快速决定他们可以跳过哪些reCAPTCHA单词.例如:
您将获得2个单词:1个真实,1个假.
对于
[REAL FAKE]或[FAKE REAL],您只需输入即可REAL接受.如果是
[LOOKSREAL LOOKSREAL]或者[LOOKSFAKE LOOKSFAKE],通常只需输入两个单词就可以更快.不要浪费宝贵的时间来决定哪一个是真实的.使用单词的外观和类型来识别假单词.不要只依赖其中一个.
整个规则集在这里:假验证码.
CAPTCHA系统的弱点在于人们在中国建立了满是人的房间,其唯一的工作就是查看CAPTCHA图像并输入结果,然后插入实际上发送垃圾邮件的自动化系统.
你真的不能做那么多.
它比试图在实际图像上进行图像识别,OCR等便宜得多(你可能会得到一个低于0.01美元的反应).
在屈服于使用验证码的压力之前,请考虑创造性的解决方法,例如使用CSS隐藏的标记为"您的评论"的字段.如果输入该字段,则服务器将删除该请求.即使仍然没有一个好方法可以打败充满低薪劳动力的房间,大多数机器人都会为此而堕落,但无论如何,验证码都没有帮助.
更新:刚刚阅读一个案例研究,其中删除CAPTCHA将转换率提高了近10%.这对我来说,如果你为了过滤机器人而失去10%的潜在客户,那就相当破碎了.想象一下,10%对大多数企业意味着什么.
我最喜欢的验证码来自微软:http://research.microsoft.com/en-us/um/redmond/projects/asirra/
Asirra(限制访问的动物物种图像识别)是一种HIP,通过要求用户识别猫和狗的照片来工作.这项任务对于计算机来说很难,但我们的用户研究表明,人们可以快速准确地完成任务.许多人甚至认为这很有趣!
这是一项免费服务,他们有示例代码可以帮助您入门.
我想知道它会破裂多久.
reCAPTACHA没有被破坏,它将不会持续很长时间.问题是,如果你实现自己的验证码,如果它被破坏,可能需要很长时间来修复它.
这是从有关reCAPTCHA安全性的页面中获取的:
reCAPTCHA是一种Web服务.这意味着所有图像都由我们的服务器生成和评分.(...)这也提供了额外的保护:只要发现安全漏洞,我们的CAPTCHA就可以自动更新.
例如,如果有人编写的程序可以读取我们的扭曲图像,我们可以在很短的时间内添加更多的扭曲,并且没有Web主人不得不改变他们身边的任何东西.
我相信,由于他们专注于验证码,因此他们已经改进了存储的版本,如果需要,可以在很短的时间内部署.(当弱者没有被打破时,他们为什么要创造更强的安全性呢?)
它不仅被击败,而且一个有用的应用程序已成功建立在它之上,成为最令人惊讶的工具,以打败所有类型的免费帐户保护的大型直接下载网站列表(不仅megaupload和rapidshare ).
Jdownloader是开源的,用Java编写,因此查看源代码不仅可以解决它是否被破坏,还可以解决方法.
编辑:大多数直接下载网站不使用reCaptcha,而是使用更简单的Captcha方法(3种不同颜色的大写字母).尽管如此,Jdownloader和Cryptload(一个类似于Jdownloader的程序)是我所知道的唯一可以有效打破Captcha方法的工作实现.我没有听说任何破解reCaptcha的实现.
更新:似乎至少有一个reCaptcha(不是整个reCaptcha本身)的实现也被破解了.
更新2010年12月:Jdownloader 似乎终于打败了reCaptcha.该插件仍然是实验性的,仅适用于Windows版本的Jdownloader,但是,正如我曾经尝试过的配偶告诉我的那样,它确实有效.
有去年在Defcon黑客大会上发表讲话说进入与一般的验证码的问题.他们所做的一件事就是使用多个免费的OCR引擎,并让他们对最好的单词进行投票.这样做,他们能够获得成功的机会.对于一种,它是40%左右,但我不认为它是reCaptcha.
"事实上,它[reCAPTCHA]在2011年1月4日变得毫无用处,当时垃圾邮件制造者显然集中了一个绕过reCAPTCHA并允许完全自动注册过程的软件.机器人一直很忙,非常忙碌从那以后" [1]
2 - 3年前,基于文本输入的验证码方法在失去战斗时超越了线路,即进一步的复杂化只会使它们相对(因为计算机功率增加,而人类不是)对机器更容易,更令人反感和排斥,如果不是完全不可能,对人类而言.这与CAPTCHA的原始范例相同,作为确保计算机不生成响应的测试
更新:
请注意,reCAPTCHA归Google Inc.所有,但Google Inc.不会通过自己的服务使用它.
这是一个包含网页的链接,其中包含Google本身/内部使用的验证码 ,用于Gmail注册:
请注意,Google的reCAPTCHA总是有2个字.
以下是Google提供供其他人使用的reCAPTCHA的图片链接.
和reCAPTCHA的截图:
我留下来给读者做出明显的结论.
引用:[1]
vBulletin论坛受到reCAPTCHA破解垃圾邮件机器人的攻击 PC Pro博客由Davey Winder
于2011年1月12日发布
我在一个受reCAPTCHA保护的系统上看到博客评论,页面加载,1秒后邮件成功发布.用户代理是无稽之谈(在这种特殊情况下它声称运行Ubuntu 9.25/Firefox 3.8),引用来自一个完全不相关的网站,没有链接到我们.
这显然是自动化的.
![Laravel说Auth guard []没有定义](https://img.devbox.cn/3cccf/16086/243/c1c0b4e02fdd405a.png)
京公网安备 11010802040832号 | 京ICP备19059560号-6 