hacktricks/pentesting-web/captcha-bypass.md

51 lines
5.5 KiB
Markdown

# Contournement de Captcha
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Vous travaillez dans une **entreprise de cybersécurité** ? Vous souhaitez voir votre **entreprise annoncée dans HackTricks** ? ou vous souhaitez avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Contournement de Captcha
Pour **automatiser** le **test** de certaines fonctions du serveur qui permettent une entrée utilisateur, il peut être nécessaire de **contourner** une implémentation de captcha. Par conséquent, essayez de tester les éléments suivants :
* **Ne pas envoyer le paramètre** lié au captcha.
* Changer de POST à GET ou à d'autres verbes HTTP.
* Changer en JSON ou depuis JSON.
* Envoyer le paramètre du captcha vide.
* Vérifier si la valeur du captcha est **dans le code source** de la page.
* Vérifier si la valeur est **dans un cookie**.
* Essayez d'utiliser une **ancienne valeur de captcha**.
* Vérifier si vous pouvez utiliser la **même valeur** de captcha plusieurs fois avec **le même ou un ID de session différent**.
* Si le captcha consiste en une **opération mathématique**, essayez d'**automatiser** le **calcul**.
* Si le captcha consiste à **lire des caractères à partir d'une image**, vérifiez manuellement ou avec du code **combien d'images** sont utilisées et si seulement **quelques images sont utilisées, détectez-les par MD5**.
* Utilisez un **OCR** ([https://github.com/tesseract-ocr/tesseract](https://github.com/tesseract-ocr/tesseract)).
## Services en ligne pour contourner les captchas
### [Capsolver](https://www.capsolver.com/)
Le solveur automatique de captchas de Capsolver offre la **solution de contournement de captcha la plus abordable et la plus rapide**. Vous pouvez rapidement l'intégrer à votre programme en utilisant son option d'intégration simple pour obtenir les meilleurs résultats en quelques secondes.
Avec un taux de réussite de 99,15 %, Capsolver peut **résoudre plus de 10 millions de captchas par minute**. Cela signifie que votre automatisation ou votre extraction de données aura un temps de fonctionnement de 99,99 %. Vous pouvez acheter un package de captcha si vous avez un budget important.
Au prix le plus bas du marché, vous pouvez obtenir une variété de solutions, notamment reCAPTCHA V2, reCAPTCHA V3, hCaptcha, hCaptcha Click, reCaptcha click, Funcaptcha Click, FunCaptcha, datadome captcha, aws captcha, picture-to-text, binance / coinmarketcap captcha, geetest v3 / v3, et plus encore. Avec ce service, **0,1s est la vitesse la plus lente jamais mesurée**.
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Vous travaillez dans une **entreprise de cybersécurité** ? Vous souhaitez voir votre **entreprise annoncée dans HackTricks** ? ou vous souhaitez avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>