V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
drymonfidelia
V2EX  ›  程序员

有什么简单的方案能对 recaptcha 的 token 进行混淆,防止只要会用打码平台就能刷接口?

  •  
  •   drymonfidelia · 243 天前 · 1779 次点击
    这是一个创建于 243 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司要上个免账号就能参加的活动吸引潜在用户(面向国外),Google 登录还是会劝退很多不小心点进广告的用户。我弄了个简单 xor 加密,还采集了一点页面点击事件和 selenium 等会留下的 webdriver 特征加在后面,javascript-obfuscator 各项全拉满,不到一小时就被灰产大佬破解了。然后我尝试了一下某国产 VMP 混淆,还是一早上就被破解了。后来又了解到 akamai bot manager 、incapsula 、F5 shape 的风控,但 Discord 上问了下全都有打码平台可以过。
    17 条回复    2024-03-15 14:21:05 +08:00
    fd9xr
        1
    fd9xr  
       243 天前 via iPhone
    ……打码平台是真人啊 怎么防
    lovestudykid
        2
    lovestudykid  
       243 天前
    hh ,发在这里可能不合适,不过还是想求推荐打码平台
    drymonfidelia
        3
    drymonfidelia  
    OP
       242 天前
    @fd9xr 现在大部分都是脚本了
    @lovestudykid 自己搜,在这里推荐不合适
    google2020
        4
    google2020  
       242 天前
    reCAPTCHA v3 是谷歌自己都在用的风控模型和验证码,如果这都能过,设备是很干净的了,只能要求登录了。
    sunshijie
        5
    sunshijie  
       242 天前
    直接上 akamai
    0o0O0o0O0o
        6
    0o0O0o0O0o  
       242 天前 via iPhone
    这类服务自己定制不现实,想要修改提交数据就需要反代,而反代操作就会影响它的风控

    你描述的这样的对抗强度,再配合你提到的业务,我觉得无解
    helone
        7
    helone  
       242 天前
    @drymonfidelia 打码平台确实大部分都是真人,虽然现在 AI 很便宜,有些真人无法识别的 AI 都能过,但是真人比 AI 便宜的多
    drymonfidelia
        8
    drymonfidelia  
    OP
       242 天前
    @sunshijie 能过 akamai 的服务很。 主流的几家 cs 之类的都有过 akamai bot manager 的服务,只是 akamai 法务会投诉,他们一般不直接在官网宣传,找客服会给你发接口和价格
    drymonfidelia
        9
    drymonfidelia  
    OP
       242 天前
    @0o0O0o0O0o token 是提交到自己服务器,自己服务器再发回去校验的
    drymonfidelia
        10
    drymonfidelia  
    OP
       242 天前
    @google2020 几乎所有打码平台都有过 recaptchav3 的服务,1000 次调用 0.3 美元的都有,出来的 score 全是 0.9
    0o0O0o0O0o
        11
    0o0O0o0O0o  
       242 天前 via iPhone
    @drymonfidelia #9 你是指不干涉 recaptcha 的逻辑,execute 调用完了,只在回调里混淆一下吗?那我觉得你自研更没戏了,因为你提到你要对抗的目标已经可以轻松应对公开的 javascript-obfuscator 和 VMP 产品了。
    iyiluo
        12
    iyiluo  
       242 天前
    防不住,尽量从业务方面入手吧,现在的灰产已经产业化了
    RTSmile
        13
    RTSmile  
       242 天前 via iPhone
    凡是在前端防破都是瞎使劲,没用的。
    ShinichiYao
        14
    ShinichiYao  
       242 天前
    @helone 哈哈哈哈 扎心了
    drymonfidelia
        15
    drymonfidelia  
    OP
       242 天前
    @helone 现在 AI 成本也不高了,加上很多小打码平台用盗刷的信用卡付租机器的钱,用脚本的也多了(我在的 discord server 里有几个打码平台的老板,知道一些内幕)
    cherryas
        16
    cherryas  
       242 天前
    反爬只能反并发
    没有并发要求的话 油猴+pyautogui+ai ocr 治一切
    drymonfidelia
        17
    drymonfidelia  
    OP
       242 天前
    @cherryas 问题是灰产就是在并发,一天被刷好几万
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1478 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:54 · PVG 07:54 · LAX 15:54 · JFK 18:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.