Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/captcha-bypass.md

5.6 KiB
Raw Blame History

Contournement de Captcha

{% hint style="success" %} Apprenez et pratiquez le hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)

Soutenir HackTricks
{% endhint %}

Contournement de Captcha

Pour contourner le captcha lors des tests de serveur et automatiser les fonctions de saisie utilisateur, diverses techniques peuvent être employées. L'objectif n'est pas de compromettre la sécurité mais de rationaliser le processus de test. Voici une liste complète de stratégies :

  1. Manipulation des Paramètres :
  • Omettre le Paramètre Captcha : Évitez d'envoyer le paramètre captcha. Expérimentez en changeant la méthode HTTP de POST à GET ou d'autres verbes, et en modifiant le format des données, comme passer des données de formulaire à JSON.
  • Envoyer un Captcha Vide : Soumettez la requête avec le paramètre captcha présent mais laissé vide.
  1. Extraction et Réutilisation de Valeurs :
  • Inspection du Code Source : Recherchez la valeur du captcha dans le code source de la page.
  • Analyse des Cookies : Examinez les cookies pour voir si la valeur du captcha est stockée et réutilisée.
  • Réutiliser de Anciennes Valeurs de Captcha : Essayez d'utiliser à nouveau des valeurs de captcha précédemment réussies. Gardez à l'esprit qu'elles peuvent expirer à tout moment.
  • Manipulation de Session : Essayez d'utiliser la même valeur de captcha à travers différentes sessions ou le même ID de session.
  1. Automatisation et Reconnaissance :
  • Captchas Mathématiques : Si le captcha implique des opérations mathématiques, automatisez le processus de calcul.
  • Reconnaissance d'Image :
  • Pour les captchas qui nécessitent de lire des caractères à partir d'une image, déterminez manuellement ou par programme le nombre total d'images uniques. Si l'ensemble est limité, vous pourriez identifier chaque image par son hash MD5.
  • Utilisez des outils de Reconnaissance Optique de Caractères (OCR) comme Tesseract OCR pour automatiser la lecture des caractères à partir des images.
  1. Techniques Supplémentaires :
  • Test de Limite de Taux : Vérifiez si l'application limite le nombre de tentatives ou de soumissions dans un délai donné et si cette limite peut être contournée ou réinitialisée.
  • Services Tiers : Utilisez des services ou des API de résolution de captcha qui offrent une reconnaissance et une résolution automatisées des captchas.
  • Rotation de Session et d'IP : Changez fréquemment les ID de session et les adresses IP pour éviter la détection et le blocage par le serveur.
  • Manipulation de User-Agent et d'En-têtes : Modifiez le User-Agent et d'autres en-têtes de requête pour imiter différents navigateurs ou appareils.
  • Analyse de Captcha Audio : Si une option de captcha audio est disponible, utilisez des services de reconnaissance vocale pour interpréter et résoudre le captcha.

Services en Ligne pour résoudre les captchas

Capsolver

Le solveur de captcha automatique de Capsolver offre une solution de résolution de captcha abordable et rapide. Vous pouvez rapidement l'intégrer à votre programme grâce à son option d'intégration simple pour obtenir les meilleurs résultats en quelques secondes. Il peut résoudre reCAPTCHA V2 et V3, hCaptcha, FunCaptcha, datadome, aws captcha, image-à-texte, captcha binance / coinmarketcap, geetest v3, et plus encore. Cependant, ce n'est pas un contournement à proprement parler.

{% hint style="success" %} Apprenez et pratiquez le hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)

Soutenir HackTricks
{% endhint %}