hacktricks/pentesting-web/captcha-bypass.md

64 lines
6.8 KiB
Markdown
Raw Normal View History

# Captcha Bypass
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
2022-04-28 16:01:33 +00:00
<details>
2022-04-28 16:01:33 +00:00
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
2022-04-28 16:01:33 +00:00
</details>
{% endhint %}
2022-04-28 16:01:33 +00:00
## Captcha Bypass
**サーバーテスト**中にキャプチャを**バイパス**し、ユーザー入力機能を自動化するために、さまざまな技術を使用できます。目的はセキュリティを損なうことではなく、テストプロセスを効率化することです。以下は戦略の包括的なリストです:
2022-04-28 16:01:33 +00:00
1. **パラメータ操作**:
* **キャプチャパラメータを省略**: キャプチャパラメータを送信しない。HTTPメソッドをPOSTからGETや他の動詞に変更したり、データ形式を変更したり、フォームデータとJSONの間で切り替えたりしてみる。
* **空のキャプチャを送信**: キャプチャパラメータを含めてリクエストを送信するが、空のままにする。
2. **値の抽出と再利用**:
* **ソースコードの検査**: ページのソースコード内でキャプチャ値を探す。
* **クッキー分析**: クッキーを調べて、キャプチャ値が保存され再利用されているか確認する。
* **古いキャプチャ値の再利用**: 以前に成功したキャプチャ値を再度使用してみる。ただし、いつでも期限切れになる可能性があることに注意。
* **セッション操作**: 異なるセッションや同じセッションIDで同じキャプチャ値を使用してみる。
3. **自動化と認識**:
* **数学的キャプチャ**: キャプチャが数学的操作を含む場合、自動計算プロセスを実行する。
* **画像認識**:
* 画像から文字を読み取る必要があるキャプチャの場合、手動またはプログラムでユニークな画像の総数を特定する。セットが限られている場合、各画像をMD5ハッシュで識別できるかもしれない。
* [Tesseract OCR](https://github.com/tesseract-ocr/tesseract)のような光学文字認識OCRツールを利用して、画像から文字を自動的に読み取る。
4. **追加技術**:
* **レート制限テスト**: アプリケーションが特定の時間枠内での試行や送信の回数を制限しているか、またこの制限をバイパスまたはリセットできるか確認する。
* **サードパーティサービス**: 自動キャプチャ認識と解決を提供するキャプチャ解決サービスやAPIを利用する。
* **セッションとIPのローテーション**: サーバーによる検出やブロックを避けるために、セッションIDやIPアドレスを頻繁に変更する。
* **ユーザーエージェントとヘッダー操作**: ユーザーエージェントや他のリクエストヘッダーを変更して、異なるブラウザやデバイスを模倣する。
* **音声キャプチャ分析**: 音声キャプチャオプションが利用可能な場合、音声からテキストへのサービスを使用してキャプチャを解釈し解決する。
2022-04-28 16:01:33 +00:00
## Online Services to solve captchas
2022-04-28 16:01:33 +00:00
### [CapSolver](https://www.capsolver.com/?utm\_source=google\&utm\_medium=ads\&utm\_campaign=scraping\&utm\_term=hacktricks\&utm\_content=captchabypass)
[**CapSolver**](https://www.capsolver.com/?utm\_source=google\&utm\_medium=ads\&utm\_campaign=scraping\&utm\_term=hacktricks\&utm\_content=captchabypass)は、さまざまなタイプのキャプチャを自動的に解決することを専門としたAI駆動のサービスで、Webスクレイピング中に開発者が直面するキャプチャの課題を簡単に克服できるようにデータ収集を支援します。**reCAPTCHA V2、reCAPTCHA V3、hCaptcha、DataDome、AWS Captcha、Geetest、Cloudflareターンスタイルなど**のキャプチャをサポートしています。開発者向けに、[**ドキュメント**](https://docs.capsolver.com/?utm\_source=github\&utm\_medium=banner\_github\&utm\_campaign=fcsrv)**で詳細が説明されているAPI統合オプションを提供し、アプリケーションへのキャプチャ解決の統合を容易にします。また、[Chrome](https://chromewebstore.google.com/detail/captcha-solver-auto-captc/pgojnojmmhpofjgdmaebadhbocahppod)と[Firefox](https://addons.mozilla.org/es/firefox/addon/capsolver-captcha-solver/)のブラウザ拡張機能も提供しており、ブラウザ内で直接サービスを利用することができます。異なるニーズに対応するためにさまざまな価格パッケージが用意されており、ユーザーに柔軟性を提供しています。
{% embed url="https://www.capsolver.com/?utm_campaign=scraping&utm_content=captchabypass&utm_medium=ads&utm_source=google&utm_term=hacktricks" %}
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}