Captcha Bypass
Last updated
Last updated
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
서버 테스트 중 captcha를 우회하고 사용자 입력 기능을 자동화하기 위해 다양한 기술을 사용할 수 있습니다. 목표는 보안을 약화시키는 것이 아니라 테스트 프로세스를 간소화하는 것입니다. 다음은 전략의 포괄적인 목록입니다:
파라미터 조작:
Captcha 파라미터 생략: captcha 파라미터를 전송하지 않도록 합니다. HTTP 메서드를 POST에서 GET 또는 다른 동사로 변경하고, 데이터 형식을 변경하는 실험을 해보세요. 예를 들어, 폼 데이터와 JSON 간에 전환합니다.
빈 Captcha 전송: captcha 파라미터가 포함되지만 비어 있는 요청을 제출합니다.
값 추출 및 재사용:
소스 코드 검사: 페이지의 소스 코드 내에서 captcha 값을 검색합니다.
쿠키 분석: 쿠키를 검사하여 captcha 값이 저장되고 재사용되는지 확인합니다.
이전 Captcha 값 재사용: 이전에 성공한 captcha 값을 다시 사용해 보세요. 이 값은 언제든지 만료될 수 있습니다.
세션 조작: 서로 다른 세션이나 동일한 세션 ID에서 동일한 captcha 값을 사용해 보세요.
자동화 및 인식:
수학 Captcha: captcha가 수학 연산을 포함하는 경우, 계산 프로세스를 자동화합니다.
이미지 인식:
이미지에서 문자를 읽어야 하는 captcha의 경우, 수동 또는 프로그래밍 방식으로 고유한 이미지의 총 수를 결정합니다. 세트가 제한적이라면 각 이미지를 MD5 해시로 식별할 수 있습니다.
Tesseract OCR와 같은 광학 문자 인식(OCR) 도구를 사용하여 이미지에서 문자를 자동으로 읽습니다.
추가 기술:
비율 제한 테스트: 애플리케이션이 주어진 시간 내에 시도 또는 제출 횟수를 제한하는지 확인하고, 이 제한을 우회하거나 재설정할 수 있는지 확인합니다.
타사 서비스: 자동화된 captcha 인식 및 해결을 제공하는 captcha 해결 서비스 또는 API를 사용합니다.
세션 및 IP 회전: 서버에 의해 감지 및 차단되는 것을 피하기 위해 세션 ID와 IP 주소를 자주 변경합니다.
User-Agent 및 헤더 조작: User-Agent 및 기타 요청 헤더를 변경하여 다양한 브라우저나 장치를 모방합니다.
오디오 Captcha 분석: 오디오 captcha 옵션이 있는 경우, 음성 인식 서비스를 사용하여 captcha를 해석하고 해결합니다.
CapSolver는 다양한 유형의 captcha를 자동으로 해결하는 AI 기반 서비스로, 웹 스크래핑 중 발생하는 captcha 문제를 쉽게 극복할 수 있도록 개발자를 지원합니다. reCAPTCHA V2, reCAPTCHA V3, hCaptcha, DataDome, AWS Captcha, Geetest, Cloudflare turnstile 등의 captcha를 지원합니다. 개발자를 위해 Capsolver는 문서에 자세히 설명된 API 통합 옵션을 제공합니다. 또한 Chrome https://chromewebstore.google.com/detail/captcha-solver-auto-captc/pgojnojmmhpofjgdmaebadhbocahppod 및 Firefox https://addons.mozilla.org/es/firefox/addon/capsolver-captcha-solver/용 브라우저 확장 프로그램을 제공하여 브라우저 내에서 직접 서비스를 쉽게 사용할 수 있습니다. 다양한 요구를 수용할 수 있는 다양한 가격 패키지가 제공되어 사용자에게 유연성을 보장합니다.
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)