有什么简单的方案能对 recaptcha 的 token 进行混淆,防止只要会用打码平台就能刷接口?
drymonfidelia 2024-03-15 02:09:17 +08:00 2384 次点击这是一个创建于 575 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司要上个免账号就能参加的活动吸引潜在用户(面向国外),Google 登录还是会劝退很多不小心点进广告的用户。我弄了个简单 xor 加密,还采集了一点页面点击事件和 selenium 等会留下的 webdriver 特征加在后面,Javascript-obfuscator 各项全拉满,不到一小时就被灰产大佬破解了。然后我尝试了一下某国产 VMP 混淆,还是一早上就被破解了。后来又了解到 akamai bot manager 、incapsula 、F5 shape 的风控,但 Discord 上问了下全都有打码平台可以过。
 | 1 fd9xr 2024-03-15 06:28:15 +08:00 via iPhone ……打码平台是真人啊 怎么防 |
 | 2 lovestudykid 2024-03-15 07:29:04 +08:00 hh ,发在这里可能不合适,不过还是想求推荐打码平台 |
 | 3 drymonfidelia OP |
 | 4 google2020 2024-03-15 08:58:31 +08:00 reCAPTCHA v3 是谷歌自己都在用的风控模型和验证码,如果这都能过,设备是很干净的了,只能要求登录了。 |
 | 5 sunshijie 2024-03-15 09:01:47 +08:00 直接上 akamai |
 | 6 0o0O0o0O0o 2024-03-15 09:10:31 +08:00 via iPhone 这类服务自己定制不现实,想要修改提交数据就需要反代,而反代操作就会影响它的风控 你描述的这样的对抗强度,再配合你提到的业务,我觉得无解 |
 | 7 helone 2024-03-15 09:13:43 +08:00 @drymonfidelia 打码平台确实大部分都是真人,虽然现在 AI 很便宜,有些真人无法识别的 AI 都能过,但是真人比 AI 便宜的多 |
| 8 drymonfidelia OP @sunshijie 能过 akamai 的服务很。 主流的几家 cs 之类的都有过 akamai bot manager 的服务,只是 akamai 法务会投诉,他们一般不直接在官网宣传,找客服会给你发接口和价格 |
| 9 drymonfidelia OP @0o0O0o0O0o token 是提交到自己服务器,自己服务器再发回去校验的 |
| 10 drymonfidelia OP @google2020 几乎所有打码平台都有过 recaptchav3 的服务,1000 次调用 0.3 美元的都有,出来的 score 全是 0.9 |
| 11 0o0O0o0O0o 2024-03-15 10:33:37 +08:00 via iPhone @drymonfidelia #9 你是指不干涉 recaptcha 的逻辑,execute 调用完了,只在回调里混淆一下吗?那我觉得你自研更没戏了,因为你提到你要对抗的目标已经可以轻松应对公开的 Javascript-obfuscator 和 VMP 产品了。 |
 | 12 iyiluo 2024-03-15 10:45:28 +08:00 防不住,尽量从业务方面入手吧,现在的灰产已经产业化了 |
 | 13 RTSmile 2024-03-15 10:49:41 +08:00 via iPhone 凡是在前端防破都是瞎使劲,没用的。 |
 | 14 ShinichiYao 2024-03-15 11:52:04 +08:00 @helone 哈哈哈哈 扎心了 |
| 15 drymonfidelia OP @helone 现在 AI 成本也不高了,加上很多小打码平台用盗刷的信用卡付租机器的钱,用脚本的也多了(我在的 discord server 里有几个打码平台的老板,知道一些内幕) |
 | 16 cherryas 2024-03-15 13:46:27 +08:00 反爬只能反并发 没有并发要求的话 油猴+pyautogui+ai ocr 治一切 |
| 17 drymonfidelia OP @cherryas 问题是灰产就是在并发,一天被刷好几万 |
Select Language