reCaptcha是否被破解/黑客入侵/ OCR已被破解/破解?

 

有没有使用任何编程方法来击败reCAPTCHA?

我感兴趣的是看到证​​据和潜在的演示,特别是reCAPTCHA已经被完全自动化,无人的方法所淘汰。

为了澄清, 不要以任何方式寻找涉及人类的reCAPTCHA作弊解决方案,无论团队是否负责填写CAPCHA,色情搜索者或Mechanical Turk。

我也没有寻找reCAPTCHA的替代品,比如选择动物类型,背景字段或者javascript欺骗。

我注意到,这里几乎所有的答案都与原则上的CAPTCHA概念的无效性有关 - 虽然我非常同意他们,但实际上几个月前在OWASP上做了一次演讲,解释了这一点 - 问题非常具体,所以我会提供一个示范。
但首先,我将重申这一示范,重新阅读其他评论,因为这是事实,验证码没有意义,也没有帮助,与实施无关。

但真的,请查看CAPTCHA Killer。 您可以上传CAPTCHA图像,如果不是立即,它会自动提供OCR的答案。 它还提供了一个API(REST,我认为,但也可能是SOAP)。 我个人尝试了许多reCAPTCHA图像,实际上它是一些最简单的(或至少最快)破碎的。

更新 :CAPTCHA Killer的网站现在被撤下,显然是在法律压力之下。 有关该主题的完整概述,请参阅http://captcha.org/。

是的,OCR不是打破CAPTCHA保护网站的最佳方式 - 还有很多其他更好的方法。

你可能会对这个关于4chan如何击败reCAPTCHA的详细报告感兴趣,并用它来操纵Time.com的年度TIME 100 Poll结果。

骇客Recaptcha(又名'阴茎洪水')

使用的下一个策略是查看他们是否可以在reCAPTCHA实施中发现缺陷。 他们发现的关于reCAPTCHA的一件事是,它总是向用户提供两个词来解码 - 一个词是reCAPTCHA系统已知的控制词,而另一个词是未知词(reCAPTCHA使用人类来帮助纠正OCR错误)。 维基百科描述了这个过程:“扫描文本受到两个不同光学字符识别程序的分析; 在程序不同意的情况下,可疑字被转换成CAPTCHA。 该词与已知的控制字一起显示,并由人标记。 这些被人类法官一致赋予单一标签的词语将作为控制词回收。“ 2匿名认识到的是,如果他们总是用同一个单词标记未知扫描文本 - 并且如果他们这样做了成千上万次,最终很大一部分未知单词会被他们的单词贴错标签。 他们所要做的只是查看验证码中的两个单词,为'easy'输入正确的标签(大概这将是两个光学扫描仪会认同的),并输入“阴茎”一词作为很难。 如果他们经常做到这一点,那么相当大比例的图像将被标记为“阴茎”,并且autovote的能力将被恢复(一种副作用,在匿名中没有丢失,是未来几年的概念更新:我问reCAPTCHA的总工程师Ben Maurer关于这次'阴茎溢洪'攻击,Ben说他们已经预料到了这种类型的攻击而且他们有很多保护措施,以防止阴茎渗透到reCAPTCHA的障碍中。

优化reCAPTCHA

作为将“阴茎”这个词散布在文本中的概念,匿名团队知道时钟在滴答滴答,如果他们要恢复信息,他们没有时间等待自动交易者返回在线状态 - 他们将不得不手动投票,很多次。 所以他们需要能够尽可能快地输入验证码。 他们制定了一套指导方针,使他们能够迅速确定哪些reCAPTCHA字可以跳过。 例如:

你会得到2个字:1真实,1假。

对于[REAL FAKE][FAKE REAL] ,您只需输入REAL ,即可接受。

如果它是[LOOKSREAL LOOKSREAL][LOOKSFAKE LOOKSFAKE] ,那么输入这两个单词通常会更快。 不要浪费宝贵的时间来决定哪一个是真实的。

使用词的外观和类型来识别假词。 不要只依赖其中之一。

整个规则集在这里:假captcha。

CAPTCHA系统的薄弱之处在于人们在中国设立了满是人的房间,他们唯一的工作就是查看CAPTCHA的形象并输入结果,然后插入到实际上正在进行垃圾邮件的自动化系统中。

没有太多可以做的真的。

它也比试图对图像进行图像识别,OCR等要便宜得多(您可以通过其他方式获得低于0.01美元的响应)。

链接地址: http://www.djcxy.com/p/3685.html

上一篇: Has reCaptcha been cracked / hacked / OCR'd / defeated / broken?

下一篇: How can I throttle user login attempts in PHP