hacktricks/pentesting-web/captcha-bypass.md

Captcha Bypass

{% hint style="success" %} AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.

{% endhint %}

Captcha Bypass

서버 테스트 중 captcha를 우회하고 사용자 입력 기능을 자동화하기 위해 다양한 기술을 사용할 수 있습니다. 목표는 보안을 약화시키는 것이 아니라 테스트 프로세스를 간소화하는 것입니다. 다음은 전략의 포괄적인 목록입니다:

1. 매개변수 조작:

• Captcha 매개변수 생략: captcha 매개변수를 전송하지 않도록 합니다. HTTP 메서드를 POST에서 GET 또는 다른 동사로 변경하고, 데이터 형식을 변경하는 실험을 해보세요. 예를 들어, 폼 데이터와 JSON 간에 전환합니다.
• 빈 Captcha 전송: captcha 매개변수가 포함되지만 비어 있는 요청을 제출합니다.

2. 값 추출 및 재사용:

• 소스 코드 검사: 페이지의 소스 코드 내에서 captcha 값을 검색합니다.
• 쿠키 분석: 쿠키를 검사하여 captcha 값이 저장되고 재사용되는지 확인합니다.
• 이전 Captcha 값 재사용: 이전에 성공한 captcha 값을 다시 사용해 보세요. 이 값은 언제든지 만료될 수 있습니다.
• 세션 조작: 서로 다른 세션이나 동일한 세션 ID에서 동일한 captcha 값을 사용해 보세요.

3. 자동화 및 인식:

• 수학 Captcha: captcha가 수학 연산을 포함하는 경우, 계산 프로세스를 자동화합니다.
• 이미지 인식:
• 이미지에서 문자를 읽어야 하는 captcha의 경우, 수동 또는 프로그래밍 방식으로 고유한 이미지의 총 수를 결정합니다. 세트가 제한적이라면 각 이미지를 MD5 해시로 식별할 수 있습니다.
• Tesseract OCR와 같은 광학 문자 인식(OCR) 도구를 사용하여 이미지에서 문자를 자동으로 읽습니다.

4. 추가 기술:

• 비율 제한 테스트: 애플리케이션이 주어진 시간 내에 시도 또는 제출 횟수를 제한하는지 확인하고, 이 제한을 우회하거나 재설정할 수 있는지 확인합니다.
• 타사 서비스: 자동화된 captcha 인식 및 해결을 제공하는 captcha 해결 서비스 또는 API를 사용합니다.
• 세션 및 IP 회전: 서버에 의해 감지 및 차단되는 것을 피하기 위해 세션 ID와 IP 주소를 자주 변경합니다.
• User-Agent 및 헤더 조작: User-Agent 및 기타 요청 헤더를 변경하여 다양한 브라우저나 장치를 모방합니다.
• 오디오 Captcha 분석: 오디오 captcha 옵션이 있는 경우, 음성 인식 서비스를 사용하여 captcha를 해석하고 해결합니다.

Online Services to solve captchas

CapSolver

CapSolver는 다양한 유형의 captcha를 자동으로 해결하는 AI 기반 서비스로, 웹 스크래핑 중에 발생하는 captcha 문제를 쉽게 극복할 수 있도록 개발자를 지원하여 데이터 수집을 강화합니다. reCAPTCHA V2, reCAPTCHA V3, DataDome, AWS Captcha, Geetest, Cloudflare turnstile 등의 captcha를 지원합니다. 개발자를 위해 Capsolver는 문서**에 자세히 설명된 API 통합 옵션을 제공하여 애플리케이션에 captcha 해결 기능을 통합할 수 있도록 합니다. 또한 Chrome 및 Firefox용 브라우저 확장 프로그램을 제공하여 브라우저 내에서 직접 서비스를 쉽게 사용할 수 있습니다. 다양한 요구를 수용할 수 있는 다양한 가격 패키지가 제공되어 사용자에게 유연성을 보장합니다.

{% embed url="https://www.capsolver.com/?utm_campaign=scraping&utm_content=captchabypass&utm_medium=ads&utm_source=google&utm_term=hacktricks" %}

{% hint style="success" %} AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.

{% endhint %}