كيفية إدخال كلمة التحقق بكلمتين. ما هي الكابتشا؟ تجاوز كلمة التحقق باستخدام الخدمات العامة

بالنسبة للبعض ، فإن عملية طلب إدخال رمز التحقق (captcha) مفاجئة ، لكنها في الحقيقة ظاهرة طبيعية على الإنترنت. الحقيقة انه تعتبر كلمة التحقق طريقة أخرى لحماية موقعك من البريد العشوائي أو القرصنة.عندما يكون من الضروري إدخال captcha بالضبط ، ما هي هذه الحماية ، سنكتشفها الآن.

في كثير من الأحيان يُطلب من الكود إدخاله عند التسجيل في مواقع مختلفة. هذا أمر مفهوم ، في هذه الحالة ، يكون اختبار "الإنسانية" فوق كل شيء ، لأن مالك هذا المورد لا يحتاج إلى روبوتات في النظام على الإطلاق. يتم طلب Captcha كثيرًا إذا قمت بتنفيذ نفس الإجراء عدة مرات متتالية. يمكن أن يكون أي شيء وتعليقات على الصور والمنشورات وما إلى ذلك ، بالإضافة إلى إرسال رسائل إلى العديد من الأصدقاء في وقت واحد. حتى وسائل الاعلام الاجتماعية يحب.

في الحالة الأخيرة ، سيطلب منك النظام على الأرجح إقناعه بأنك لست روبوتًا يريد إرسال بريد عشوائي إلى جميع أصدقائك. لهذا السبب ، لا يُسمح أيضًا للشبكات الاجتماعية بالاتصال بأكثر من 50 صديقًا يوميًا للتأكد من أنك لا تجمع الآلاف تلقائيًا لأغراضك الخاصة ، فقط للترويج أو غير مرغوب فيه آخر.

متى أحتاج لإدخال رمز الحماية؟

يمكن إصدار طلب إدخال captcha في مواقف وحالات مختلفة. يبدو كالتالي: يتم تمييز نافذة جديدة ، حيث توجد الصورة في الأعلى. أدناه ، البيانات التي يجب كشفها وإدخالها في عمود فارغ ، أسفل الصورة نفسها.

لا يستغرق هذا عادةً أكثر من بضع ثوانٍ ، لذلك لن يستغرق هذا الإجراء الكثير من الوقت.

حتى وقت قريب ، كان نظام الحماية هذا فعالًا حقًا. ولكن اليوم ، لا يتم فقط تحسين أساليب وطرق الحماية ، ولكن يتم أيضًا تطوير برامج مكافحة الحماية بأقصى سرعة وتحديثها وتحسينها.

الآن ، إذا كنت لا ترغب في إدخال كلمة التحقق باستمرار ، فإن البرنامج الذي يمكن تنزيله مجانًا على خوادم مختلفة يمكنه القيام بذلك نيابة عنك. هناك أيضًا برامج مدفوعة من هذا النوع. وهي مخصصة لأولئك الذين يعانون باستمرار من رموز التحقق. ل المستخدم العادييكفي تنزيل الإصدار المعتاد البرمجيات الحرة، والتي ستتعرف تلقائيًا على الرموز عندما يُطلب منك ذلك ، ولن تضطر إلى إضاعة الوقت فيها.

تسجيل >>>

ما هي أنواع الكابتشا الموجودة؟

اليوم هناك عدة أنواع من الكابتشا، مع الأكثر شيوعًا وبساطة ، ربما يكون كل مستخدم لمساحة الإنترنت مألوفًا. وبالتالي، تكون اختبارات CAPTCHA البسيطة عندما يكون من الضروري حل الأحرف (الروسية أو الإنجليزية) أو الأرقام في شكل مشوه ، فهناك خيارات مجمعة.

قد يكون أيضًا مثالًا حسابيًا تحتاج إلى حله. يمكن أن تكون هذه الأمثلة بدرجات متفاوتة من التعقيد ، ولكن في أغلب الأحيان ، تظهر أمثلة سهلة للغاية في إجراء واحد ، مثل: 1 + 1 أو 2-1 ، إلخ.

إن أكثر رموز التحقق (captchas) غير عادية هي الصور ، فهي موجودة بشكل غير صحيح. عندما يُطلب منك إدخال رمز التحقق هذا ، فأنت تحتاج فقط إلى ضبط الصورة في الاتجاه الصحيح. عندما ترى هذا النوع من التعليمات البرمجية ، فأنت تعرف على الفور ما يجب فعله وأين تنقر.

Captcha هو شكل مثير للاهتمام إلى حد ما من أشكال الحماية. يجب أن نشيد بمطوري اختبارات CAPTCHA التي لا توجد لها برامج قرصنة حتى الآن ، لأن مثل هذه الحماية يمكن حقًا اعتبارها موثوقة. ولكن في هذا الصدد ، تم اختراع بعض الحيل أيضًا. اي واحدة. اكتشف الآن.

إدخال كلمة التحقق كدخل إضافي

اتضح أنه يمكنك كسب المال اليوم على الإنترنت ليس فقط عن طريق كتابة المقالات وبيع البضائع وإنشاء مواقع الويب. تعد كتابة كلمة التحقق من الأعمال المربحة أيضًا. عادةً ما يبدأ المبتدئون في هذا النوع من الأرباح ، ولا يتطلب هذا العمل خبرة أو معرفة أو مهارات إضافية ، في هذا الأمر ليس كل شيء أسهل في أي مكان.

لذلك ، إذا كنت منجذبًا إلى هذا النوع من الأرباح ، فراجع الإرشادات التفصيلية حول من أين تبدأ وكيفية كسب المزيد من المال في هذا العمل بمرور الوقت.

شاهد الفيديو - كيفية جني الأموال من إدخال كلمة التحقق:

اربح 💰 عبر الإنترنت عن طريق إدخال كلمة التحققكل ما تحتاجه هو إدخال النص بشكل صحيح من الصورة (من كلمة التحقق).

تحصل على المال 💵 لكل إدخال captcha.

تسجيل >>>

تعليمات لكسب المال على الكابتشا

من أجل البدء في جني الأموال بالطريقة المقترحة ، عليك اتباع التعليمات المقدمة حتى لا تكون هناك أسئلة ومشكلات غير ضرورية.

  1. التسجيل في الخدمة، التي تتخصص في هذا المجال بالذات.
  2. بعد التسجيل ، يمكنك بدء العمل على الفور ، ولكن لا تنسَ أنه يجب أن يكون لديك حساب خاص بك في مساحة الإنترنت ، حيث ستتم إضافة أموال مقابل العمل الذي قمت به.
  3. اضغط على الزر - "ابدأ" أو "ابدأ في الكسب" ثم إلى الأمام ، للحصول على الدخل. سيتم إضافة الأموال إلى الحساب تلقائيًا بعد كل إدخال captcha.

إذا كنت تستخدم الإنترنت بنشاط إلى حد ما في عملك اليومي ، فمن المحتمل أنك تعرف شيئًا مزعجًا مثل الكابتشا. في بعض الأحيان يتعارض مع العمل كثيرًا لدرجة أن الأشخاص غالبًا ما يتوقفون عن زيارة تلك المواقع التي يولي أصحابها الكثير من الاهتمام لها.

ما هذا؟

بالمناسبة ، ما هو الكابتشا؟ تخيل أنك تزور خدمة استضافة الملفات الشهيرة. لتنزيل ملف في الوضع الحر ، سيتعين عليك إدخال مجموعة معينة من الأحرف (غالبًا ما لا معنى لها) في حقل خاص ، والتي يجب أن تؤخذ من الصورة المقابلة.

تتعقد المهمة بسبب حقيقة أن هذه الرموز يستحيل أحيانًا تحديدها تمامًا ، حيث يتم جعلها غير قابلة للقراءة عن عمد.

لما هذا؟

بعد معرفة ماهية كلمة التحقق ، سيكون من الجيد التحدث عن الغرض المحدد لها. لماذا من الضروري تسييج مثل هذه الحديقة النباتية ، مما يجعل من الصعب إرسال التعليقات أو تنزيل الملفات؟

نعم ، كانت هناك أوقات لم يعرف فيها أحد عن كلمة التحقق على الإطلاق. ظهر مؤخرًا نسبيًا. حدث هذا في نفس الفترة عندما تكاثرت مجموعة من الروبوتات في المساحات المفتوحة من Runet ، بمساعدة من المواطنين المغامرين تركوا الإعلانات في التعليقات ، وقاموا بتنزيل الملفات مجانًا وقاموا بأشياء مخزية أخرى.

بالطبع ، احتفظ المسؤولون بالترتيب على العديد من الموارد ، ولكن في معظم خدمات التدوين ، تبين أن العبء عليهم لدرجة أنهم توقفوا ببساطة عن مواكبة ذلك. وذلك عندما تعلم المستخدمون ما هي كلمة التحقق! تبين أن التعارف كان غير سار إلى حد ما.

لنكون أكثر دقة ، تم إنشاء التكنولوجيا نفسها في الأصل في عام 2000. في البداية ، كان القصد منه فقط تحديد "إنسانية" المحاور الخاص بك على الإنترنت: ثم لم يتم إنشاء برنامج واحد لـ captcha (للتعرف عليه ، بشكل أكثر دقة).

ما هو عيبه؟

إذا قرأت بعناية الجزء الأول من المقالة ، فيمكنك تخمين معظم العوامل السلبية لاستخدام CAPTCHA بنفسك. أولاً ، يتصرف معظم المستخدمين في حالة اندفاع. ببساطة ، عندما ترى منشورًا مثيرًا للاهتمام في نفس LJ ، فأنت تريد التعليق عليه على الفور.

لكنك تواجه اختبار captcha غير قابل للهضم ، ومعظم الشخصيات غير مقروءة لدرجة أن حلها قد يستغرق أكثر من يوم. ما رأيك ، هل سينخرط المستخدم في مثل هذه المهمة الناقدة للجميل؟

بالطبع لا! سيذهب فقط إلى موقع آخر. وبالتالي ، إذا كنت تحاول حماية مواردك من أولئك الذين يرغبون في ترك بريد عشوائي في التعليقات ، فننصحك ألا تكون متحمسًا جدًا.

إذا انجرفت في استخدام captcha ، فستفقد بسرعة العديد من المستخدمين النشطين. لا مستخدمين - لا أموال إعلانية. بالإضافة إلى ذلك ، تتعرف معظم الموارد العادية تلقائيًا على البريد العشوائي في التعليقات ، لذلك لا داعي في كثير من الأحيان للحماية الإضافية.

يمكن قول الشيء نفسه عن مواقع مشاركة الملفات. بالطبع ، يمكنك فهم منشئيهم: من خلال تقديم المعلومات التي تهمهم وتنزيلها مجانًا ، سيفقدون الأرباح بكل بساطة.

لكن يمكن مشاهدة الموقف نفسه من الجانب الآخر: إذا قدم لك موقع ما فرصة الحصول على ملف مجانًا ، فسيكتسب بسهولة جمهورًا كبيرًا ، والذي سيعوض جميع التكاليف بسرعة عن طريق جذب المعلنين. بالمناسبة ، هذه هي بالضبط الطريقة التي يعمل بها iFolder المحلي ، والذي لا يستطيع منشئوه الشكوى بالضبط من الفقر.

لذلك ، حتى من وجهة نظر جني الأرباح ، فإن فكرة اختبار captcha لا تبدو جذابة للغاية.

ما يجب القيام به؟

وكيفية إزالة كلمة التحقق ، هل من الممكن فعل ذلك على الإطلاق؟ الوضع هنا غامض إلى حد ما. الحقيقة هي أنه في العديد من المواقع التي تستخدم هذا النوع من الحماية من البريد العشوائي ، لا يمكن لكل مستخدم قراءة captcha في المرة الأولى ، ناهيك عن بعض التطبيقات.

يمكن التعرف على المتغيرات البسيطة بمساعدة أداة صغيرة لقارئ الشاشة ، والتي يتم تضمينها في حزمة برامج ABBYY FineReader. لكنها تقرأ فقط أكثر أشكال بسيطةكلمة التحقق التي يمكن لأي مستخدم عادي التعرف عليها بسهولة. بالإضافة إلى ذلك ، لا يمكن أتمتة العملية نفسها ، لأنه من الضروري التعرف يدويًا على النطاق الذي تهتم به.

إدخال كلمة التحقق

إذا لم يكن لديك الكثير من الخيارات ، فسيتعين عليك التعامل مع هذه المهمة الناقصة للجميل يدويًا. ما هي النصيحة التي يمكن أن تعطيها؟ أولاً ، حاول القيام بذلك بشكل أسرع: العديد من المواقع لديها عداد يعيد تعيين القيمة إذا لم تتمكن من إدخالها في غضون دقيقتين.

بالإضافة إلى ذلك ، غالبًا ما تحدث الأخطاء الإملائية عند تعطيل JavaScript في متصفحك. لا تنسَ الحاجة إلى ملفات تعريف الارتباط ، لأنها ستساعد الموقع على "التعرف عليك" ، مما يلغي المرور المستمر للحماية المزعجة.

أخيرًا ، انتبه لما هو مكتوب على الصفحة الرئيسية للموقع. كقاعدة عامة ، يتم وصف captcha لموقع الويب بالتفصيل في ملاحظة توضيحية أو في مقالة منفصلة. وخير مثال على ذلك هو خدمة مشاركة الملفات Rapidshare ، والتي قدمت في وقت واحد كلمة التحقق الفريدة.

يمكن تمييز شخصياتها بسهولة ، ولم يتم استخدام تقنيات ضبابية أو استقطاب لجعل من الصعب على البرامج التعرف عليها. ما هو السر؟

وكان يتألف من حقيقة أنه على تلك الأحرف والأرقام التي يجب إدخالها في الحقل المناسب ، كانت هناك قطط. كم عدد الكلمات القاسية التي قيلت لمبدعي مثل هذا النظام في وقت واحد! في النهاية ، تم التخلي عنه بضغط من مجتمع المستخدمين.

نشتري "ترياق"

خيار آخر هو الاتصال بمبرمج عادي (أو مجموعة ، وهذا أفضل) ، حتى يتمكن من إنشاء أداة للتعرف على كلمة التحقق على موقع معين. للأسف ، لا توجد حلول عالمية ، فقط لأن الحماية فريدة في كل مورد. بعض الحلول النموذجية نادرة جدًا.

من الأمور ذات الأهمية الخاصة في هذا السياق التطورات التي حققتها شركة CMS Bitrix ، التي توزع برامج فعالة حقًا تتعامل مع رموز التحقق على المواقع الأكثر شهرة. يدعي المطورون أن كفاءة إنشائهم في حدود 95٪. اعتمادًا على نوع الحماية وتعقيدها والموقع المحدد ، قد يكلفك تطوير طرق لحمايتها بضعة آلاف من الدولارات أو أكثر.

بالإضافة إلى ذلك ، تتمتع بعض الموارد بحماية متطورة لدرجة أنه ليس من السهل على الشخص حلها!

هل يمكنك كسب المال عند دخوله؟

غالبًا ما يهتم المبتدئون الجدد بما إذا كان من الممكن كسب المال بطريقة أو بأخرى عن طريق إدخال الشخصيات الواقية. وهذا ليس مفاجئًا ، لأن الإنترنت مليء بالإعلانات حول تجنيد مجموعات من الأشخاص الذين سيحصلون على بعض المال عن طريق إجراء التعرف على captcha. هل يجب أن أشارك في هذا؟

في رأينا (ربما غير موضوعي تمامًا) ، لا يستحق القيام بهذا العمل. سوف تنفق قدرًا هائلاً من الأعصاب والطاقة وحركة المرور. والدفع مقابل مثل هذا "المال السهل" هو ببساطة أمر مذهل: بعد الجلوس طوال اليوم أمام الكمبيوتر ، مع إصرار جنوني في القيادة في اختبار captcha ، ستربح بضعة دولارات كحد أقصى. هل تحتاجه؟ على الاغلب لا.

الإخراج العالمي

إذا تحدثنا عن استضافة الملفات ، إذا كنت تقوم بتحميل الملفات بانتظام ، فإن الطريقة الوحيدة الموثوقة للخروج من الموقف هي شراء حساب مدفوع. كقاعدة عامة ، تكلفتها مناسبة تمامًا. بشراء هذا الاشتراك ، ستتمكن من تنزيل أي قدر من المعلومات بسرعة ودون إزعاج.

كيفية إزالة كلمة التحقق من مدونتك؟

نأمل أن تكون قد توصلت إلى الاستنتاجات الصحيحة بعد قراءة معظم مقالتنا. لذلك ، سننظر في كيفية إزالة إدخال captcha في خدمة Blogger الشهيرة من Blogger المشهور. ليس من الصعب القيام بذلك ، وسوف تجلب الكثير من البهجة لزوار موقع الويب الخاص بك.

أولاً ، انتقل إلى "محرر" صفحتك. في العمود الأيمن ، حدد عنصر "الإعدادات". يحتوي على قسم "الرسائل والتعليقات". في حقل "استخدام التحقق من الكلمات" ، قم بتعيين القيمة "لا" ، وبعد ذلك لن تكون كلمة التحقق مطلوبة عند إدخال الرسائل.

ماذا لو لم تتمكن من إدخاله بشكل صحيح؟

يحدث أن برنامج إدخال الكابتشا أو الموقع نفسه (إذا قمت بإدخال القيم يدويًا) يعطي خطأ باستمرار. ماذا قد يكون السبب؟

بادئ ذي بدء ، عليك أن تهدأ. كقاعدة عامة ، يوجد سهم منحني على الجانب الأيمن من أي اختبار CAPTCHA. بالنقر فوقه ، ستقوم بتحديث مجموعة الأحرف التي تحتاج إلى إدخالها للوصول إلى الموقع. باستخدامه ، يمكنك تغيير مجموعة غير قابلة للقراءة تمامًا. لسوء الحظ ، الرسائل غير المقروءة شائعة جدًا. لذلك ، أحيانًا لا يمكن تمييز الفرق بين الحرفين "Q" و "G" تمامًا.

أخيرًا ، في العديد من المواقع ، يمكنك تجنب كتابة أحرف الأمان بمجرد التسجيل عليها. جرب هذه الطريقة أيضًا.

هذا ما هو الكابتشا!

مرحبا جميعا. على الأرجح أنك تعرف بالفعل ما هو رمز التحقق ، ربما تكون قد شاهدته للتو ، لكنك لم تعرف اسم هذا المنحنى والصورة المزعجة التي يجب إدخالها في كل خطوة. لذلك ، بالنسبة لأولئك الذين لم يعرفوا ، هذا هو رمز التحقق.

هو اختبار يتم إنشاؤه تلقائيًا للتحقق مما إذا كان المستخدم إنسانًا أم جهاز كمبيوتر. في الغالبية العظمى من الحالات ، يكون نقشًا مشوهًا للأحرف و / أو الأرقام. يمكن كتابتها في مجموعات ألوان مختلفة باستخدام التشويش أو الانحناء أو الخطوط الإضافية المتداخلة أو الأشكال العشوائية.

الغرض من كلمة التحقق ووظيفتها

لماذا تحتاج إلى إدخال captcha ، لأنه يمكن أن يصد المستخدمين؟
على سبيل المثال ، في شبكة التواصل الاجتماعي المحبوبة فكونتاكتي ، يجب إدخالها إذا كان عدد الإجراءات في فترة زمنية معينة يتجاوز المعلمة المسموح بها. بشكل تقريبي ، إذا قمت بإرسال 50 رسالة متتالية مع فاصل زمني مدته ثانية واحدة ، فحينئذٍ ، بالتأكيد ، ستظهر كلمة التحقق (captcha) ، حيث سيتم الاشتباه في وجود رسائل غير مرغوب فيها. والبريد العشوائي ، كما تعلم ، هو في الغالب روبوتات لا يمكنها (كما تصورها المؤلفون) إدخال نص من الصورة. وفقًا لذلك ، يعد هذا إجراءًا إجباريًا يحمي الموارد من البريد العشوائي وزيادة الحمل عند مهاجمته من قبل برامج الروبوت.

ومع ذلك ، لا يساعد اختبار captcha دائمًا ، لأنه يمكنك العثور على مفتاح لكل قفل ، وإلا فإن هذا القفل مكسور وعديم الفائدة. يمكن التعرف على معظم الرسومات بواسطة الشبكات العصبية ، بعد أن دربتها مسبقًا على العديد من الأمثلة (عدة عشرات ، أو حتى مئات الآلاف). تم إعداد هذه الأمثلة من قبل متطوعين يجلسون ويقودون اختبارات CAPTCHA لأيام متتالية مقابل رسوم رمزية. لكي لا تكون بلا أساس ، إليك مثال من habrahabr على قرصنة Yandex captcha. هناك أيضًا خدمات خاصة مثل antigate التي توفر خدمة التعرف. لديهم قاعدة ضخمة من الأمثلة الجاهزة ، ويتم التعرف يدويًا على الحالات التي لم تكن موجودة في القاعدة.

أمثلة على كلمة التحقق ، حالات الاستخدام

ربما يمكنك التفكير في شيء ليس مزعجًا مثل القفز والقفز بين النصوص / الأرقام؟ نعم ، بالطبع يمكنك التفكير في الأمر. علاوة على ذلك ، فقد توصلوا إليه بالفعل. سأعرض لك الآن أمثلة على رموز التحقق التي لا تزعج الزوار كثيرًا. لنبدأ بالمعيار - النص.

الآن دعنا ننتقل إلى أمثلة أكثر إثارة للاهتمام. وتشمل هذه الكابتشا ، حيث تحتاج إلى وضع 3 صور عموديًا. في رأيي ، يعد هذا أحد أكثر الأشكال نجاحًا في هذا المجال ، لأنه ببساطة ليس مزعجًا ، ولكنه على العكس من ذلك ، فهو آسر وممتع بعض الشيء. إنها ليست حتى إدخال captcha ، ولكنها مجرد لعبة صغيرة.

علاوة على ذلك ، أود أن أقول بضع كلمات عن الكابتشا الرياضية. يمكن أن تكون بسيطة بقدر ما هي معقدة. أنا شخصياً أحب اختبار CAPTCHA ، حيث يتعين عليك إضافة أو طرح رقمين. هذا أكثر راحة من الجلوس والتحليل النص المنحني. ومع ذلك ، إذا تجاوزت التعقيد قليلاً ، فقد تنشأ مشاكل.

وفي الختام ، مثال خطير للأمان الوهمي ، captcha - "ضع علامة". يعتقد الكثير من الناس أن هذا كافٍ ، لكنهم لا يشكون في أنه من السهل جدًا تحديد المربع برمجيًا وتدريب الروبوت على القيام بذلك - إنها مسألة دقيقة واحدة. في الواقع ، في هذه الحالة ، لا يتم إدخال captcha على هذا النحو ، ولكن يتم تغيير معلمة CheckBox'a.

الآن أنت تعرف ما هي كلمة التحقق ولديك فكرة عما يمكن أن تكون عليه.

  • القرصنة اليدوية لـ CAPTCHA (يدرس أحد المخترقين تنفيذًا محددًا لـ captcha ويختار طرقًا لاختراقها) ؛
  • استخدام البرامج الخاصة (الروبوتات) ، والتي يتم من خلالها تنظيم هجمات آلية ضخمة على عدة مواقع في نفس الوقت (كقاعدة ، يتم تطويرها على نفس النظام الأساسي أو وجود نفس رموز التحقق ، والتي تمكن المتسللون من العثور على "مفاتيح" ") ؛
  • استغلال عمل الناس الحقيقيين.

يمكن أن تكون دوافع المهاجمين عند اختراق كلمة التحقق مختلفة تمامًا ، بدءًا من الحسد العادي والانتقام ، إلى نشر البريد العشوائي والسيطرة على المورد بأكمله باستخدام حقن SQL والآليات الأخرى.

كقاعدة عامة ، تبدأ جميع عمليات تجاوز captcha الجماعية بالاختراقات اليدوية. يحدث هذا ، كقاعدة عامة ، بأمر أو خارج المصلحة العلمية ، وتهدف مثل هذه الهجمات إلى تطبيقات CAPTCHA محددة.

ثم يتم وضعها بالفعل على الدفق ، أي يتم تنظيمها تلقائيًا باستخدام برامج روبوتية (روبوتات).

حسنًا ، في الحالات التي يكون فيها من المستحيل تجنب الكابتشا برمجيًا ، يتم إدخال CAPTCHA يدويًا باستخدام عمالة الأشخاص الحقيقيين الذين يرسلون هذه البيانات إلى المهاجم أو يحلوا كلمة التحقق في الوقت الفعلي بفضل واجهة برمجة التطبيقات.

لذلك ، تم فرز أدوات المتسللين ودوافعهم. دعنا الآن نلقي نظرة على أكثر الطرق شيوعًا لتجاوز اختبار CAPTCHA ، ونقوم بفرزها إلى مجموعتين: تلك التي تكون ممكنة بسبب أخطاء المبرمجين في تنفيذ CAPTCHA وتلك التي تُستخدم فيها التقنيات الحديثة.

لنبدأ بالترتيب ، وسأحاول ترتيبها بترتيب تصاعدي من حيث تعقيد الحماية ضدها ، بدءًا من الأكثر بدائية وانتهاءً بتلك التي لم يتم اختراع أي وسائل حماية ضدها حتى الآن.

لخلق دسيسة ، سأقول أنها تعمل هذه اللحظةهناك ثلاثة.

تجاوز اختبار captcha بسبب أخطاء في التنفيذ

إذا سألت مطوري تطبيقات CAPTCHA الخاصة بك عن كيفية تجاوز كلمة التحقق ، فسيخبروك بعدة طرق على الأقل. لكن الشيء الأكثر إثارة للاهتمام هو أنهم أنفسهم يتركون أحيانًا النوافذ والأبواب في إبداعاتهم لكسرها.

يحدث هذا غالبًا بسبب خطأ العامل البشري ، أو بالأحرى الإهمال المعتاد أثناء التطوير وعدم الدقة عند اختبار أمان الكابتشا.

ولكن ، في بعض الأحيان تحدث قلة الخبرة أيضًا ، بسبب عدم معرفة المبرمج ببساطة عن بعض طرق تجاوز كلمة التحقق في وقت التطوير.

كما وعدت ، سأفكر في هذا القسم في أكثر الطرق شيوعًا للحماية منها. ولنبدأ ، كما وعدنا ، بالبدائية نفسها.

تجاوز كلمة التحقق بمجموعة ثابتة من المهام

في فجر ظهور الكابتشا كوسيلة لمحاربة الروبوتات ، كانت حروف التحقق المكتوبة ذاتيًا تحظى بشعبية كبيرة ، لأن أراد الجميع المحاولة تكنولوجيا جديدةونتيجة لذلك ، اخترع الجميع ومتنوعون رموز التحقق (الكابتشا).

في حالة استخدام حروف التحقق المكتوبة ذاتيًا ، والتي قرر المطورون في تنفيذها عدم الاهتمام بقاعدة كبيرة من الصور أو الأسئلة أو أنواع المهام الأخرى ، من أجل هجوم تلقائي مستهدف على موقع به اختبار CAPTCHA ، فأنت فقط بحاجة إلى معرفة الإجابات في الوضع اليدوي.

أولئك. نذهب إلى مثل هذا الموقع ، ونحدد الإجابات ، وننشئ قاعدة بيانات للمهام والحلول الصحيحة ، ونكتب روبوتًا لهجمات القوة الغاشمة التي ستحدد الخيارات المناسبة.

لكن ، لحسن الحظ ، لا يوجد الكثير من مثل هذه المواقف في العالم الحديث ، لأن وصل الأمن السيبراني منذ ذلك الحين إلى مستوى صلب للغاية ولم يشارك أحد في إنشاء مثل هذه الأوليات.

وإذا كان هناك مثل هؤلاء الأشخاص ، فإنهم يتعلمون بسرعة كبيرة من أخطائهم عندما يفقدون السيطرة على موقع الويب الخاص بهم أو العملاء الذين تم اختراقهم بسبب هذه الإنشاءات.

حماية:لا تقم أبدًا بإنشاء رموز التحقق مع مجموعة من المشكلات ، والحلول التي يمكنك التقاطها يدويًا. إذا كنت تريد حل اختبار captcha ، فأنت بحاجة إلى حل أي مثال رياضي أو إدخال رموز من الصورة ، فيجب إنشاء المهام والإجابات عليها تلقائيًا.

هناك طريقة أخرى للحماية من إدخال captcha التلقائي وهي تغيير اسم حقل النموذج الذي يجب إدخال الإجابة فيه. إذا كان اسم الحقل ، على سبيل المثال ، سيكون دائمًا "captcha" ، فسيكون من الأسهل على المهاجم كسر هذا الكابتشا. سيرسل برنامج الروبوت الخاص به طلبًا فقط إلى البرنامج النصي للخادم المحدد في سمة "إجراء" HTML للنموذج ، والذي يحتوي على قيمة captcha المطلوبة.

إذا كان اسم حقل captcha في هذه الحالة هو نفسه طوال الوقت ، فسيستخدم المخترق ببساطة قاعدة الأسماء الأكثر شيوعًا لحقول captcha ، والتي يمكن تجميعها بشكل مستقل عند دراسة مواقع مختلفة أو تنزيلها الجاهزة من الموارد المتخصصة (لن أسردها للترويج للقرصنة).

إذا تم إنشاء اسم الحقل ، بالإضافة إلى مهمة تمرير اختبار captcha ، على الخادم ، فلن تساعد قاعدة اسم captcha. من أجل استخدام اسم حقل ديناميكي ، في الممارسة العملية ، يتم إنشاء captcha بواسطة برنامج نصي ، ومعالجته بواسطة برنامج آخر.

في هذه الحالة ، فإن تنفيذ captcha له فارق بسيط واحد: فالبرنامج النصي الذي يعالج صحة مدخلاته سيحتاج بطريقة ما إلى نقل اسم حقل captcha. غالبًا ما يتم ذلك باستخدام إدخال مخفي في النموذج أو سمات البيانات أو تمريرها عبر ملفات تعريف الارتباط أو جلسة.

النقطة الأساسية هي أنه لا يمكنك تمرير الاسم مباشرة ، أي أن حقل captcha يسمى "captcha_mysite" ، ويحتوي الحقل المخفي على القيمة "captcha_mysite" أو "الموقع". يجب تشفيرها وفك التشفير باستخدام نفس الخوارزمية المستخدمة في التشفير.

نظرًا لأنه سيتم تخزين خوارزمية التشفير على الخادم ، فلا يمكن للمهاجم التعرف عليها ببساطة (فقط إذا لم يتمكن من الوصول إلى محتويات البرنامج النصي للخادم).

بالمناسبة ، يكفي استخدام تسلسل عشوائي للأحرف بدلاً من اسم الحقل ، والذي يسهل الحصول عليه في PHP باستخدام الدالة uniqid ().

تجاوز كلمة التحقق باستخدام الجلسات

إذا كان تنفيذ captcha يعني تخزين الإجابة الصحيحة في الجلسة ، ولم يتم إعادة إنشاء الجلسة بعد كل إدخال captcha ، فيمكن للمهاجمين معرفة معرف الجلسة ومعرفة قيمة CAPTCHA المشفرة.

وبالتالي ، يمكنهم بسهولة تحديد خوارزمية تشفير واستخدامها لمزيد من هجمات القوة الغاشمة الآلية باستخدام الروبوتات.

أيضًا ، إذا كان المبرمج في الكود الخاص بفحص استجابة المستخدم على الخادم ، لا يتحقق من فراغ متغير الجلسة الذي يتم فيه إرسال استجابة المستخدم ، فيمكن للمتسلل استخدام معرف جلسة غير موجود حيث سيقوم المتغير ببساطة لا يوجد.

بسبب هذا الإغفال ، يمكن تمرير اختبارات CAPTCHA هذه عن طريق تمرير جلسات معرف غير موجودة و قيم فارغةكلمة التحقق.

حماية:بغض النظر عن مدى رغبتك في التوقف عن استخدام الجلسات لنقل قيم captcha ، يعد هذا سعرًا مرتفعًا للغاية لضمان أمان captcha من القرصنة. لذلك ، تحتاج الجلسات وقيم المتغيرات والمعرفات الخاصة بهم إلى الحماية بعناية حتى لا يتمكن المتسلل من استخدام المعلومات المخزنة فيها.

من الجدير أيضًا القيام بكل ما هو تافه ، ولكن ضروري من عمليات التحقق من المتغيرات لوجود وفراغ قيمهم.

قرصنة captcha بسبب المعلومات السرية في كود العميل

في بعض الأحيان ، يتم إجراء اختبارات CAPTCHA بطريقة تجعلها تستخدم التشفير باستخدام ما يسمى بـ "ملح" عند نقل قيم المستخدم إلى الخادم ، أي إضافة معرف الجلسة أو قيمة IP أو بيانات فريدة أخرى إلى قيمة CAPTCHA. غالبًا ما يكون هذا تسلسلًا عشوائيًا بسيطًا للأحرف.

والشرط الرئيسي لحل الكابتشا هو مصادفة قيمة CAPTCHA المشفرة التي أدخلها المستخدم بقيمتها الصحيحة ، والتي تم إنشاؤها عند فتح الصفحة وتسجيلها في الجلسة أو تخزين آخر لمزيد من الإرسال إلى الخادم.

من المرجح أن تشير مصادفة هذه القيم إلى أن المستخدم هو شخص حقيقي أدخل رمز التحقق الذي تم إنشاؤه أثناء جلسة الاتصال ، وفي نهاية الأمر قام بحلها ومن نفس الكمبيوتر الذي شاهد فيه اختبار captcha لأول مرة.

إذا لم تتطابق هذه القيم الفريدة ، فعلى الأرجح ، تم إدخال كلمة التحقق تلقائيًا بواسطة الروبوت.

هذه الآلية لحماية الموقع من الروبوتات مدروسة جيدًا ، ولكن في بعض الأحيان تكون هذه القيم السرية موجودة في كود HTML للصفحة ، حيث يمكن قراءتها بسهولة. لذلك ، يمكنك تكوين القراءة التلقائية الخاصة بهم باستخدام البرامج ونفس الإدخال التلقائي عند تمرير اختبار CAPTCHA.

حماية:عند تنفيذ اختبار CAPTCHA ، فأنت بحاجة إلى مراعاة هذا الخرق الأمني ​​، وإذا كنت بحاجة إلى مراعاة قيمة بعض المعرف الفريد لحل اختبار CAPTCHA ، فأنت بحاجة إلى التأكد من أنه لم يتم ذكره في JS أو في كود HTML الذي يمكن عرضه في المتصفح.

تحتاج أيضًا إلى إعادة إنشاء معرف الجلسة وإنشاء قيم فريدة أخرى (بما في ذلك CAPTCHA نفسها ، إن أمكن) بعد كل محاولة لإدخال CAPTCHA ، مما سيوفر لك ، أو على الأقل يعقد مهمة المتسللين لاختراق الموقع عن طريق تحديد القيمة الصحيحة تلقائيًا.

هناك وسيلة أخرى للحماية ، وهي ، إن أمكن ، حظر الإجراءات التي تتم بواسطة IP وعدد المحاولات.

كيفية تجاوز كلمة التحقق دون تغيير IP

يعد هجوم القوة الغاشمة طريقة فعالة لتجاوز رمز التحقق ، ليس فقط في حالات تنفيذه مع مجموعة ثابتة من المهام وحلولها.

خطأ آخر في تنفيذ CAPTCHA ، والذي يجعله عرضة للهجمات الآلية ، هو عدم وجود حدود زمنية لحل CAPTCHA وعدد المحاولات.

في هذه الحالة ، سيكون من الممكن تجاوز كلمة التحقق باستخدام برنامج خاص، والتي ستجمع قاعدة بيانات للأسئلة أو تحدد الإجابات من القائمة الحالية. علاوة على ذلك ، سيتم كل هذا تلقائيًا بفضل الأساليب الحديثة في التعلم الآلي والتطورات في مجال الذكاء الاصطناعي ، والتي قطعت خطوة كبيرة إلى الأمام في السنوات الأخيرة.

حماية:عند تنفيذ اختبار captcha آمن حقًا ، فأنت بحاجة إلى تحديد وقت الاستجابة وعدد محاولات حل كلمة التحقق من عنوان IP واحد لمنع هجمات القوة الغاشمة من الروبوتات.

على سبيل المثال ، إذا انقضت أقل من ثانيتين بين إنشاء اختبار captcha واستجابة المستخدم ، فاعتبر هذا المستخدم روبوتًا واعرض الرسالة المقابلة على الشاشة. يجب أن يحتوي نص الرسالة على تعليمات للمستخدمين الحقيقيين بأن الإدخال لا يجب أن يتم بهذه السرعة (في حالة تمكن الشخص فعليًا من إدخال الإجابة بشكل أسرع).

إذا كان شخصًا حقًا ، فسيتخذ الإجراءات المناسبة ، وإذا كان روبوتًا ، فسيستمر في محاولة تجاوز كلمة التحقق.

يجب اعتبار هذه المحاولات غير صحيحة ، مع تحديد رقمها في متغير الجلسة وحظر المزيد من الإجراءات للمستخدمين بواسطة IP الخاص بهم. لن يكون من الضروري أيضًا أن تصدر مثل هذه العناوين المحظورة رسالة بدلاً من captcha للاتصال بالمسؤول إذا كان المستخدم المحظور شخصًا حقيقيًا.

وهناك طريقة أخرى فعالة لمكافحة الروبوتات وهي فرض قيود على إجراءات معينة على الموقع. على سبيل المثال ، تسجيل واحد من عنوان IP واحد. الشيء الرئيسي هنا هو عدم المغازلة وعدم الوصول إلى حدود عدد التعليقات لمستخدم واحد فريد.

لكن الحقيقة أن هذه الإجراءات لن تساعد كثيرًا بفضل وجود خوادم بروكسي.

تجاوز كلمة التحقق باستخدام الوكيل

حتى في الحالات التي يتم فيها الحجب عدد كبيرلا تزال محاولات حل captcha بواسطة IP تحدث ، ولا يوفر هذا الحدث حماية بنسبة 100٪ من الروبوتات.

إنه خطأ الخادم الوكيل وبرامج المجهول التي تعمل على أساسها ، والتي ، ربما ، يعرفها الجميع تلميذ حديثأبحث عن الحلول مراقبة اهليةوحجب المواقع الممنوعة.

تسمح لك أدوات إخفاء الهوية بإخفاء بيانات الكمبيوتر عند استخدام الموقع ، بما في ذلك عنوان IP المطلوب ، حيث يمكن حساب العميل وحظره.

النظام بسيط: يتصل المستخدم بخادم وكيل ، حيث يتم تشفير بياناته أو استبدالها ببيانات أخرى (على سبيل المثال ، قد يتم تخصيص عنوان IP لدولة أخرى) ، ثم يتم تقديم طلب إلى الموقع المستهدف الذي يريد العميل الاتصال.

وبالتالي ، سيتجاوز المهاجم بسهولة جميع عمليات حظر عناوين IP الخاصة بك وسيحدد حل captcha الصحيح طالما يحتاج.

وفي بعض المواقع التي يظهر فيها اختبار captcha فقط عند تنفيذ عدد كبير من نفس الإجراءات (على سبيل المثال ، في VK عند إضافة عدد كبير من الأصدقاء) ، قد لا يظهر على الإطلاق إذا تم تنفيذ كل إجراء من عنوان IP جديد ومراقبة المهلات بين محاولات حل كلمة التحقق ، بحيث يكون سلوك الروبوت مشابهًا لسلوك شخص حقيقي.

تم استخدام هذه الطريقة منذ نصف قرن عند كتابة البرامج الأولى من أجل اجتياز اختبار تورينج ، والذي يتم تنفيذه بواسطة CAPTCHA.

بالمناسبة ، يتم استخدام المبادئ الموصوفة بواسطة جميع البرامج المعروفة حاليًا لإدخال captcha تلقائيًا. لتغيير عنوان IP للاتصال بالموقع ، يستخدمون قواعد بيانات خادم بروكسي مجانية وتجارية ، والتي ، مع وجود الإنترنت ، لن يكون من الصعب الحصول عليها.

حماية:لسوء الحظ ، نظرًا لوجود مجهولين وقواعد بيانات بروكسي مفتوحة ، لن يكون من الممكن الحماية من قرصنة الكابتشا من خلال تتبع مجرمي الإنترنت عن طريق IP.

الأمل الوحيد هو أن خوادم PROXY نفسها يمكنها فرض قيود على عدد IP المستخدم من قبل مستخدم واحد وعدد الاتصالات من كل منهم.

لهذا السبب ، لا يجب تخطي فحص IP تمامًا. بفضل احتياطاتك ضد تجاوز captcha ، سيكون من الممكن ، عاجلاً أم آجلاً ، حظر المخترق على مستوى أو آخر.

والنتيجة الأكثر صحة في هذا الموقف هي استخدام ، بالإضافة إلى هذه الطريقة للحماية من قرصنة الكابتشا ، طرق أخرى تساعد في كشف المخترق بطريقة مختلفة.

إدخال Captcha تلقائيًا باستخدام محاكيات الإجراءات

إذا أردت اجتياز اختبار CAPTCHA ، فأنت بحاجة إلى تنفيذ إجراء معين (النقر فوق زر ، وتحريك شريط التمرير ، وما إلى ذلك) ، فيمكنك أيضًا تجاوز كلمة التحقق في هذه الحالة عن طريق محاكاة الإجراء الضروري (النقر فوق عنصر تحكم معين أو أي إجراء آخر).

المشكلة الوحيدة التي يمكن أن يواجهها المخترق في هذه الحالة هي كيفية العثور على عنصر التحكم المطلوب على الموقع برمجيًا.

أسهل طريقة للقيام بذلك هي إحداثياتها أو موقعها بالنسبة لبعض العناصر الثابتة للمورد.

حماية:من أجل حماية نفسك من إدخال الكابتشا التلقائي ، في هذه الحالة ، تحتاج إلى تغيير موضع عنصر التحكم باستمرار والذي يسمح لك بحل اختبار CAPTCHA. أولئك. إذا احتجت من بين ثلاثة أشخاص إلى اختيار الشخص الذي لديه يد مرفوعة فقط ، فلا ينبغي بأي حال من الأحوال وضعه في نفس المكان باستمرار.

حسنًا ، في حالات تطبيقات CAPTCHA الأخرى ، عندما يكون ذلك مستحيلًا (على سبيل المثال ، بالنسبة لزر التنزيل أو حقل "أنا لست روبوتًا" ، والذي يمكن أن يكون له إجابة واحدة صحيحة فقط) ، فمن الضروري استخدام طرق حماية أخرى يمكن أن يمنع الروبوتات من حل اختبار CAPTCHA تلقائيًا.

كيفية تجاوز كلمة التحقق باستخدام تقنية عالية

لقد قمنا بتغطية نقاط الضعف في تطبيقات CAPTCHA ، وهي ثغرات أمنية وهي الأكثر شيوعًا في الممارسة. ومع ذلك ، من الناحية العملية ، حتى أكثر اختبارات CAPTCHA خالية من العيوب تكون أحيانًا غير قادرة على حماية المورد باستخدامها من هجمات القراصنة.

هذه الحالات من قرصنة الكابتشا هي نتيجة مباشرة للتقدم الحديث ومستوى التطور. تكنولوجيا الكمبيوتر، والتي ، كما تعلم ، لا تُستخدم دائمًا لأغراض جيدة.

لذا ، كيف تتجنب استخدام الكابتشا التقنيات الحديثة?

تجاوز كلمة التحقق باستخدام التعرف الضوئي على الحروف

OCR (التعرف الضوئي على الحروف) هي تقنية للتعرف على النص المطبوع أو المكتوب على الآلة الكاتبة لاستخدامه لاحقًا في التنسيق الإلكتروني. أشهر البرامج التي تطبق هذه التقنية هي Adobe FineReader.

يتم استخدامه بنجاح عند إنشاء برامج إدخال CAPTCHA تلقائية تتعرف بنجاح على رموز CAPTCHA الرسومية وتحلها ، والتي تحتاج إلى إدخال تسلسل الأحرف الموضحة في الصورة.

القراصنة ، بالطبع ، لا يستخدمون Adobe FineReader (على الرغم من وجود مثل هذا 🙂) ، لكنهم يكتبون نصوصًا خاصة ، باستخدام العديد من المكتبات الجاهزة للعمل مع الصور أو استخدام قدرات اللغة للعمل مع الرسومات ، يتعرفون عليها الكابتشا وإصدار تسلسل أحرف مصور عليه.

على الإنترنت ، وجدت عددًا كافيًا من الأمثلة على هذه النصوص. كان مبدأ عملهم على النحو التالي:

  • مسح الصورة المستخدمة في الكابتشا الرسومية من الضوضاء المختلفة ؛
  • تقسيم الخط المعروض إلى أحرف منفصلة ؛
  • مقارنة كل منهم بصورة معدة (عينة).

تم تحضير العينات الرسومية مع مراعاة الخطوط المختلفة والتشوهات المحتملة (إمالة ، تدوير ، إلخ).

كما قد تكون خمنت ، فإن أهم شيء هو تجميع قاعدة بيانات لصور الرموز في أشكال مختلفة ، والتي سيتم مقارنة رموز captcha بها لاحقًا.

حماية:في الواقع ، من أجل الخلط بين برامج التعرف الضوئي على الحروف ، يتم استخدام جميع الضوضاء والتشويهات المزعجة للأحرف في الصور ، والتي يصعب أحيانًا تحليل النص بسببها حتى بالنسبة لشخص ما. ولكن في حالة الروبوتات ، يعمل هذا أيضًا بشكل جيد ، ونتيجة لذلك لا يمكن لخوارزميات التعرف الضوئي على الحروف أن تعطي نتيجة دقيقة بنسبة 100٪ ، مما يؤثر بشكل إيجابي على أمان الكابتشا والمواقع التي تستخدمها.

إذا قررت استخدام رموز التحقق الرسومية ، التي تحتاج إلى إدخال الأحرف الموضحة في الصورة لمرورها ، فأنت بحاجة إلى اتباع التوصيات التالية:

  1. يجب أن تحتوي الأحرف في اختبارات CAPTCHA المختلفة على إحداثيات مختلفة.
  2. إذا كنت تستخدم نوعًا من تأثيرات الضوضاء لإنشاء الخلفية ، فيجب أن يتطابق لونها مع لون الأحرف ، وإلا يمكن إزالة الخلفية بسهولة عن طريق تمييز الأحرف للتعرف عليها.
  3. يجب أن تكون المسافة بين الأحرف ضئيلة. يمكنك حتى تراكبهم فوق بعضهم البعض ، ولكن فقط بدون تعصب ، حتى يتمكن المستخدمون الحقيقيون من التعرف عليهم.
  4. استخدم خطوطًا مختلفة لتجعل من الصعب العثور على الخط المناسب للتعرف عليه.
  5. قم بتشويه الرموز بكل طريقة ممكنة ، وقم بتغيير أسلوبها وسمكها.
  6. استخدم مكتبات خاصة تسمح لك بتغيير الرموز بطريقة تجعل من المستحيل تحديد خط للتعرف على البرنامج. مثال على هذا الحل هو اختبار captcha من مُنشئ مورد captcha.ru ، والذي تم إنشاؤه باستخدام خوارزمية تشويه الأحرف التي تشبه الموجة للمؤلف.

كل هذه الإجراءات تجعل من الممكن تعقيد التعرف على حروف التحقق الرسومية لأنظمة التعرف الضوئي على الحروف وتقليل عدد إدخالات الكابتشا التلقائية.

كيفية تمرير كلمة التحقق باستخدام الشبكات العصبية

إذا كانت تقنية OCR هي تقنية قديمة نوعًا ما (عُرفت الأجهزة الحاصلة على براءة اختراع في بداية القرن العشرين) ، فإن الشبكات العصبية الاصطناعية (ANN) لم تظهر إلا في النصف الثاني من القرن الماضي (بالنسبة للتقنيات ، يعتبر 50 عامًا عمرًا مهمًا 🙂).

إن خوارزميات ANN هي التي يقوم عليها الذكاء الاصطناعي (AI) ، والغرض منها هو إنشاء برامج وأجهزة تتمتع بوظائف إبداعية ، أي خلق الإنسان.

في الوقت الحالي ، يتطور الذكاء الاصطناعي باستمرار ، ويظهر كل يوم المزيد والمزيد من الاختراعات التي لها خصائص غير مرئية من قبل.

في المؤتمر الأخير حول الشبكات العصبية الذي حضرته ، تم الإبلاغ عن أن Google ، التي تتطور بنشاط في هذا المجال ، قد أعلنت بالفعل أنها متاحة للجمهور خدمات سحابيةتعمل على أساس ANN.

بمساعدتهم يمكنك:

  • التعرف على الأشياء في الصور (من جنس الشخص المصور والعلامة التجارية للجينز الذي تنتمي إليه الصورة التي تم تحليلها ، مع لوحة ألوانها الكاملة ، واسم الموقع وما يحدث عليه) ؛
  • أجهزة التحكم بالصوت والإيماءات ؛
  • اكتب التعليقات التوضيحية للفيديو بناءً على ما يحدث في الفيديو ، وما إلى ذلك.

بطبيعة الحال ، مع هذه الاحتمالات ، فإن إنشاء برنامج لإدخال الكابتشا التلقائي باستخدام مبادئ ANN ليس بالأمر الصعب على الأشخاص المطلعين.

تم تطوير أحد هذه المنتجات بواسطة Vicarious في عام 2014. إن الشبكة العصبية التي طورتها هي قادرة على التعرف على اختبار CAPTCHA في 90٪ من الحالات (تذكر أنه لحل اختبار Turing الكلاسيكي ، وهو اختبار CAPTCHA ، فإنك تحتاج فقط إلى 1٪ من الإجابات الصحيحة).

حماية:لسوء الحظ ، من المستحيل الدفاع ضد هذا النوع من الهجوم. ولحسن الحظ ، لن يتم استخدام Vicarious ANN للهجمات المستهدفة لتجاوز كلمة التحقق على مواقع الويب ، منذ ذلك الحين إنه مكلف للغاية لمثل هذه المهام الصغيرة (يقول المصنعون أنفسهم إنها مجموعة من العديد من الخوادم). مجال التطبيق الرئيسي هو حل مختلف مشاكل الطب والروبوتات.

يعد اختراق captcha بمساعدته مجرد عرض للإمكانيات.

لكن الوقت يمر ، والتقنيات التي كانت باهظة الثمن بالأمس أصبحت أرخص ، والوقت ليس بعيدًا عندما تصبح منتجات ANN في كل مكان. لذلك ، من المحتمل جدًا أن تكون هناك روبوتات في المستقبل لإدخال حروف التحقق التلقائية ، مزودة بذكاء اصطناعي.

تجاوز كلمة التحقق باستخدام الخدمات العامة

مع تطوير أنظمة التعرف الضوئي على الحروف والذكاء الاصطناعي ، أصبحت مقاييس تعقيد رموز captcha الرسومية أكثر تعقيدًا ، مما سمح لمطوريها ببذل جهود هائلة في التنفيذ. لكن على الرغم من ذلك ، فقد تبين أنهم عبثا ، tk. لم يوفروا حماية بنسبة 100٪ للمواقع من الهجمات الآلية.

لذلك ، ذهب Google ، كما يبدو لي ، إلى المسار الصحيح وقرر ببساطة اختراع معيار noCAPTCHA جديد ، رافضًا إدخال الأحرف يدويًا من الصور.

عند تطوير برنامج reCAPTCHA noCAPTCHA ، تم استخدام تجربة محاربة الروبوتات في عصر بداية الكابتشا والتطورات الحديثة في مجال الذكاء الاصطناعي ، مما يسمح بضمان المستوى المناسب لأمن الموقع ، ولكن أيضًا لا يعقد حياة مستخدمي الإنترنت بشكل كبير. .

لكن على الرغم من حقيقة ذلك هذا المعيارظهر مؤخرًا ، في عام 2015 ، تم بالفعل العثور على طريقة لحلها تلقائيًا. ولا يتعلق الأمر باستخدام الذكاء الاصطناعي.

كل شيء أكثر شيوعًا - للتمرير جوجل reCAPTCHAيكفي استخدام خدمات التعرف على الصور والكلام الخاصة بـ Google.

من غير المحتمل أن يساعد التعرف على الصور في حالة reCAPTCHA v2 (نفس noCAPTCHA) ، لأن بالنسبة للمهام الرسومية ، تحتاج إلى تحديد الصور التي توجد عليها الكائنات الضرورية ، وعدم إدخال الأحرف المصورة ، كما كان الحال في الإصدار السابق.

لكن خدمات Google Speech Recognition service والتي تعد أحد إنجازات Google في مجال الذكاء الاصطناعي والتي تم ذكرها في طريقة تجاوز الكابتشا السابقة ستكون مفيدة للغاية. نظرًا لأن الخدمة توفر واجهة برمجة تطبيقات ، فليس من الصعب إنشاء تطبيق يعتمد عليها.

حماية:لسوء الحظ ، في هذه الحالة ، كما في الحالة السابقة ، حيث تم استخدام ANN لتجاوز captcha ، لن يكون من الممكن الحماية من تجاوز captcha. النقطة الإيجابية الوحيدة هي مرة أخرى التوافر النسبي للخدمات المناسبة منذ ذلك الحين تقدم Google اختبارًا بقيمة 300 دولار فقط لاستخدامها.

بعد الانتهاء ، يتم دفع الخدمات. لكن بالنسبة للمتسللين ، من غير المحتمل أن يكون هذا عائقاً ، تي ك. يمكنهم ربح المزيد من الهجمات التي تستخدم إدخال الكابتشا التلقائي.

لذلك في حالة استخدام خدمات التعرف على الكلام والصورة لاختراق كلمة التحقق ، يبقى الأمل فقط على يقظة إدارتها ، والتي يمكنها حظر الحساب إذا وجد أنه يستخدم حصريًا للأغراض الموضحة.

كيفية تمرير كلمة التحقق باستخدام العمالة البشرية

في نهاية قائمة طرق تجاوز كلمة التحقق ، قررت اعتبارها غير مناسبة لأي من الفئات المذكورة أعلاه.

لا يقوم على استغلال نقاط الضعف في تطبيقات CAPTCHA واستخدام التقنيات الحديثة ، ولكنه يقوم على الرغبة البشرية الطبيعية في كسب المال.

وفي نفس الوقت، من هنايساعد على كسر كلمة التحقق من أي تعقيد في 100٪ من الحالات ، علاوة على ذلك ، القيام بذلك دون أي جهود مالية ومادية ومعنوية خاصة.

نحن نتحدث عن إحدى الطرق الحديثة لكسب المال - والتي ، بالمناسبة ، ظهرت في وقت قريب عندما أصبح من الصعب التعرف على CAPTCHA برمجيًا.

يكمن جوهرها في حقيقة أنه يتم إنشاء خدمة خاصة يُفترض أنها تسمح للأشخاص بكسب المال (معظمهم من الصغار ، والتي قد تكون كافية فقط للهنود أو تلاميذ المدارس الذين يبحثون عن أي طريقة للحصول على المال) عن طريق حل رموز التحقق يدويًا.

يمكن لأي شخص يحتاج إلى حلوله توفير رموز التحقق هذه.

في الأساس ، هؤلاء قراصنة يستخدمون إجابات المستخدمين الحقيقيين لأغراضهم الأنانية:

  • أتمتة الأرباح
  • إرسال بريد عشوائي
  • شراء التذاكر والسلع من المتاجر عبر الإنترنت لإعادة بيعها بسعر أعلى ؛
  • مواقع القرصنة ، إلخ.

للحصول على عملية أكثر ملاءمة ، توفر الخدمات أيضًا واجهة برمجة تطبيقات ، والتي بفضلها يمكن تنفيذ مرور captcha عبر الإنترنت. أولئك. يقوم المستخدم بإدخال الكابتشا من خلال الخدمة ، وفي هذا الوقت يتم استخدام رده لتأكيد الشراء عبر الإنترنت.

بالمناسبة ، يمكن للعديد من المهرة في مجال البرمجة استخدام العمالة البشرية مجانًا تمامًا. على سبيل المثال ، هذه هي الطريقة التي يكسب بها مالكو المواقع الإباحية ومشاركة الملفات والسيول والموارد المشبوهة الأخرى التي تقدم خدمات مجانية لقوتهم.

من المفترض أن يزودوا المستخدمين بمحتوى قيم ، يطلبون منا مجرد تافه - لتأكيد أنك إنسان ، وليس روبوتًا ، بمساعدة مجرمي الإنترنت الذين يستخدمون منتجاتهم لأغراضهم الخاصة.

بطبيعة الحال ، نحن لا نفكر لفترة طويلة ، tk. للحصول على فرصة تنزيل فيلم طال انتظاره بجودة HD مجانًا تمامًا لوضع علامة في مربع "أنا لست روبوتًا" هو مجرد تافه. وفي الوقت نفسه ، يتم استخدام إجراء واجهة برمجة التطبيقات لتجاوز اختبار captcha على موقع آخر تابع لجهة خارجية.

ومن هنا تأتي العبرة: تذكر ذلك دائمًا جبن مجانيفقط في مصيدة فئران ولا شيء مجاني.

حماية:لسوء الحظ ، هذه هي اليوم الطريقة الأكثر فاعلية لتجاوز كلمة التحقق ، والتي لا توجد علاجات منها. ولن يكون الأمر كذلك حتى أولئك الذين يرغبون في كسب فلس واحد من خلال العمل الشاق وعشاق المحتوى المجاني ، أي على الأرجح - لا يذهبون أبدًا.

تجاوز كلمة التحقق - الاستنتاجات

أثناء كتابة هذا المقال ، توصلت إلى استنتاج مفاده أن الكابتشا ، على الرغم من الفكرة الممتازة التي تم تصميمها بها ، وهي حماية المواقع من الروبوتات ، قد توقفت منذ فترة طويلة عن أداء وظائفها.

إذا كان لا يزال بإمكانك حماية نفسك من التجاوزات الآلية لعمليات التحقق التي تستغل نقاط الضعف في تطبيقات CAPTCHA من خلال القضاء على جميع المشاكل المتعلقة بأمانها ، فمن المستحيل ببساطة حماية نفسك من إدخال captcha من قبل مستخدمين حقيقيين مقابل المال.

في هذا الموقف برمته ، الشيء الوحيد الذي ينقذنا هو أنهم يدفعون أموالًا سخيفة مقابل هذا النوع من العمل وقليل من الناس يوافقون على ذلك ، وبالتالي فإن حجم الهجمات الإلكترونية باستخدام إدخال الكابتشا التلقائي ليس كارثيًا كما يمكن أن يكون.

أيضًا ، تعد تقنيات الذكاء الاصطناعي ، التي تم تطويرها بنشاط في السنوات الأخيرة ، من بين الأساليب "التي لا تقهر" لتجاوز الكابتشا.

في الوقت نفسه ، من أجل تعقيد حياة المتسللين ، يتم "تضخيم" الكابتشا باستمرار بوظائف جديدة ، وبسبب ذلك يصبح مرورهم مهمة صعبة ومملة حتى بالنسبة لمستخدمي الموقع الحقيقيين.

تذكر نفس اختبار Google reCAPTCHA: حدد المربع ، إذا لم يعجب Google شيئًا ما ، فاختر شيئًا آخر و الصور الضرورية(بالمناسبة ، مع علامات الطريق ، ما زلت أواجه مشاكل ، لأنني أستطيع أن أقوم بمثل هذه المهمة من حوالي 5 محاولات). هل هناك ضجة كبيرة من أجل ترك تعليق أو التسجيل في الموقع؟ من الأسهل العثور على مورد آخر ...

ولكن ، على الرغم من هذه الاحتياطات ، لا يمكن اعتبار كلمة التحقق في الوقت الحالي طريقة لا تشوبها شائبة للحماية من الروبوتات ، والتي ينتقدها الكثيرون ويحاولون البحث عن بدائل لها.

في الوقت نفسه ، فإن حقيقة استمرار استخدام CAPTCHA كتقنية دفاع إلكتروني وتتطور باستمرار ، بما في ذلك بواسطة Google ، التي لن تستثمر في مشاريع مشكوك فيها ، تشير إلى أن هذه التكنولوجيا ستكون موجودة لفترة طويلة قادمة.

لذلك ، عند تطوير المواقع الحالية التي تستخدم الكابتشا وصيانتها ، من الضروري استخدام التوصيات الموضحة بنشاط من أجل جعل الحياة صعبة على المتسللين قدر الإمكان لاختراق برامجهم.

ولا تنسوا مشاركة أفكاركم حول الأساليب الحالية لتجاوز إجراءات التحقق والحماية ضدهم في التعليقات تحت المقال 🙂

ملاحظة.: إذا كنت بحاجة إلى موقع أو تحتاج إلى إجراء تعديلات على موقع موجود ، ولكن ليس هناك وقت ورغبة في ذلك ، يمكنني تقديم خدماتي.

أكثر من 5 سنوات خبرةتطوير موقع احترافي. يعمل مع بي أتش بي, OpenCart, ووردبريس, Laravel, يي, MySQL, PostgreSQL, جافا سكريبت, تتفاعل, الزاويوتقنيات تطوير الويب الأخرى.

خبرة في تطوير المشاريع على مختلف المستويات: الصفحات المقصودة, مواقع الشركات, محلات نشطة, CRM, البوابات... بما في ذلك الدعم والتطوير مشاريع HighLoad... إرسال الطلبات الخاصة بك عن طريق البريد الإلكتروني [البريد الإلكتروني محمي].

هناك طرق مختلفة لتجاوز كابتشا التي تؤمن المواقع. أولاً ، هناك خدمات خاصة تستخدم العمالة اليدوية الرخيصة وتعرض حل 1000 كلمة التحقق حرفياً مقابل 1 دولار. بدلاً من ذلك ، يمكنك محاولة كتابة نظام ذكي يقوم ، وفقًا لخوارزميات معينة ، بإجراء عملية التعرف بنفسه. يمكن الآن تنفيذ هذا الأخير باستخدام أداة خاصة.

حل الكابتشا

غالبًا ما يكون التعرف على كابتشا مهمة غير تافهة. من الضروري تطبيق الكثير من المرشحات المختلفة على الصورة لإزالة التشويه والتداخل ، والتي يريد المطورون تقوية مقاومة الحماية. غالبًا ما يتعين عليك تنفيذ نظام قابل للتدريب يعتمد على الشبكات العصبية (هذا ، بالمناسبة ، ليس بالأمر الصعب كما قد يبدو) من أجل تحقيق نتيجة مقبولة للحل الآلي للكابتشا. لفهم ما أتحدث عنه ، من الأفضل التقاط الأرشيف وقراءة المقالات الرائعة "Hacking CAPTCHA: النظرية والتطبيق. فهم كيفية تعطل رموز التحقق "و" دعونا نلقي نظرة سريعة ونعرف. Hacking Captcha Filters "من رقم 135 ورقم 126 ، على التوالي. اليوم أريد أن أخبركم عن تطوير TesserCap ، والذي يسميه المؤلف أداة حل CAPTCHA عالمية. الشيء الغريب ، مهما يقول المرء.

أول نظرة على TesserCap

ماذا فعل مؤلف البرنامج؟ نظر في كيفية التعامل مع مشكلة حل CAPTCHA الآلي وحاول تلخيص هذه التجربة في أداة واحدة. لاحظ المؤلف أنه لإزالة الضوضاء من الصورة ، أي لحل المشكلة الأكثر صعوبة عند التعرف على الكابتشا ، غالبًا ما يتم استخدام نفس المرشحات. اتضح أنه إذا قمت بتنفيذ أداة مناسبة تسمح لك بتطبيق المرشحات على الصور بدون تحويلات رياضية معقدة ، ودمجها مع نظام التعرف الضوئي على الحروف للتعرف على النص ، يمكنك الحصول على برنامج عملي تمامًا. هذا ، في الواقع ، تم بواسطة Gursev Singh Kalra من McAfee. لماذا كانت ضرورية؟ قرر مؤلف الأداة التحقق من مدى أمان اختبارات CAPTCHA للموارد الكبيرة. للاختبار ، اخترنا مواقع الإنترنت الأكثر زيارة وفقًا لإصدار خدمة الإحصاء المعروفة. أصبحت الوحوش مثل Wikipedia و eBay وموفر الكابتشا reCaptcha مرشحين للاختبار.

إذا أخذنا في الاعتبار بشكل عام مبدأ عمل البرنامج ، فهو بسيط للغاية. ينتقل الكابتشا الأصلي إلى نظام المعالجة المسبقة للصور ، والذي ينظف رمز التحقق من أي ضوضاء وتشويهات ويمرر الصورة الناتجة عبر الناقل إلى نظام التعرف الضوئي على الحروف ، والذي يحاول التعرف على النص الموجود عليه. يحتوي TesserCap على واجهة رسومية تفاعلية وله الخصائص التالية:

  1. يحتوي على نظام معالجة صور متعدد الاستخدامات يمكن تهيئته لكل اختبار captcha فردي.
  2. يتضمن محرك التعرف على Tesseract الذي يستخرج النص من صورة CAPTCHA تم تحليلها وعرضها مسبقًا.
  3. يدعم استخدام الترميزات المختلفة في نظام التعرف.

أعتقد أن المعنى العام واضح ، لذا أقترح أن أرى كيف يبدو. لا يمكن أن يؤدي تعدد استخدامات الأداة إلى تعقيد واجهتها ، لذلك يمكن أن تؤدي نافذة البرنامج إلى ذهول صغير. لذا ، قبل الشروع مباشرة في التعرف على رموز التحقق ، أقترح التعامل مع واجهته ووظائفه المدمجة.


معالجة الصور واستخراجها
نص من كلمة التحقق

عن

لا يسعنا إلا أن نقول كلمتين على الأقل عن مؤلف الأداة المساعدة TesserCap الرائعة. اسمه غورسيف سينغ كالرا. يعمل كمستشار رئيسي في Foundstone Professional Services ، إحدى الشركات التابعة لشركة McAfee. تحدث غورسيف في مؤتمرات مثل ToorCon و NullCon و ClubHack. وهو مؤلف أدوات TesserCap و SSLSmart. بالإضافة إلى ذلك ، طور العديد من الأدوات للاحتياجات الداخلية للشركة. لغات البرمجة المفضلة هي Ruby و Ruby on Rails و C #. يوفر Foundstone® Professional Services ، حيث يعمل ، للمؤسسات الخبرة والتدريب لضمان حماية أصولها بشكل مستمر وفعال من التهديدات الأكثر إلحاحًا. يتألف فريق الخدمات الاحترافية من خبراء أمنيين ومطورين مشهورين يتمتعون بخبرة واسعة في العمل مع الشركات متعددة الجنسيات والحكومة

واجهه المستخدم. علامة التبويب الرئيسية

بعد بدء البرنامج ، تظهر لنا نافذة بها ثلاث علامات تبويب: رئيسي ، خيارات ، معالجة مسبقة للصور. تحتوي علامة التبويب الرئيسية على عناصر تحكم تُستخدم لبدء وإيقاف اختبار صورة CAPTCHA ، وإنشاء إحصائيات اختبار (كم عدد التخمينات وعددها لا) ، والتنقل ، وتحديد صورة للمعالجة المسبقة. يجب أن يحتوي حقل إدخال عنوان URL (عنصر التحكم رقم 1) على عنوان URL الدقيق الذي يستخدمه تطبيق الويب لاسترداد اختبارات CAPTCHA. يمكن الحصول على عنوان URL من خلال النقر على الجانب الأيمن من صورة CAPTCHA ، ونسخ رمز الصفحة أو عرضه ، واستخراج عنوان URL من السمة src الخاصة بعلامة الصورة ..site / common / rateit / captcha.asp. بجانب سطر العنوان ، يوجد عنصر يحدد عدد اختبارات CAPTCHA التي يجب تحميلها للاختبار. نظرًا لأن التطبيق يمكنه عرض 12 صورة فقط في المرة الواحدة ، فإنه يوفر عناصر تحكم للتمرير صفحة تلو صفحة في اختبارات CAPTCHA التي تم تنزيلها. وبالتالي ، أثناء الاختبار على نطاق واسع ، سنكون قادرين على التمرير خلال اختبارات CAPTCHA التي تم تنزيلها وعرض نتائج التعرف عليها. يبدأ زري Start و Stop الاختبار وإيقافهما ، على التوالي. بعد الاختبار ، تحتاج إلى تقييم نتائج التعرف على الصور ، ووضع علامة على كل منها على أنها صحيحة أو غير صحيحة. حسنًا ، تُستخدم الوظيفة الأخيرة والأكثر أهمية لنقل أي صورة إلى نظام المعالجة المسبقة ، حيث يتم تعيين مرشح يزيل التشويش والتشويه من الصورة. لإرسال صورة إلى نظام المعالجة المسبقة ، انقر بزر الماوس الأيمن على الصورة المطلوبة وحدد العنصر Send To Image Preprocessor في قائمة السياق.

واجهه المستخدم. علامة التبويب "خيارات"

تحتوي علامة التبويب "الخيارات" على عناصر تحكم متنوعة لتكوين TesserCap. هنا يمكنك تحديد نظام التعرف الضوئي على الحروف وتعيين إعدادات وكيل الويب وتمكين إعادة توجيه الصورة والمعالجة المسبقة وإضافة رؤوس HTTP مخصصة وتحديد مجموعة من الأحرف لنظام التعرف: الأرقام والأحرف الصغيرة والأحرف الكبيرة والأحرف الخاصة.

الآن حول كل خيار بمزيد من التفصيل. بادئ ذي بدء ، يمكنك اختيار نظام التعرف الضوئي على الحروف. بشكل افتراضي ، يتوفر واحد فقط - Tesseract-ORC ، لذلك لا داعي للقلق بشأن الاختيار هنا. ميزة أخرى مثيرة للاهتمام للغاية للبرنامج هي اختيار مجموعة من الشخصيات. خذ ، على سبيل المثال ، اختبار captcha من أحد المواقع - يمكنك أن ترى أنه لا يحتوي على حرف واحد ، ولكنه يتكون فقط من أرقام. فلماذا نحتاج إلى أحرف إضافية لن تؤدي إلا إلى زيادة احتمال التعرف غير الصحيح؟ لكن ماذا عن الحالة العليا؟ هل سيتمكن البرنامج من التعرف على كلمة التحقق المكونة من بأحرف كبيرةأي لغة؟ لا ، لا يمكن. يأخذ البرنامج قائمة بالأحرف المستخدمة في التعرف عليها ملفات التكوينموجود في \ Program Files \ Foundstone Free Tools \ TesserCap 1.0 \ tessdata \ configs. اسمح لي أن أشرح بمثال: إذا حددنا خياري Numerics و Lower Case ، فسيقوم البرنامج بالإشارة إلى الملف الرقمي الأصغر بدءًا من المعلمة tessedit شارالقائمة البيضاء. يتبع ذلك قائمة بالرموز التي ستُستخدم لحل اختبار CAPTCHA. بشكل افتراضي ، تحتوي الملفات على أحرف من الأبجدية اللاتينية فقط ، لذلك للتعرف على الأبجدية السيريلية ، تحتاج إلى استبدال قائمة الأحرف أو استكمالها.

الآن قليلا عن الغرض من حقل Http Request Headers. على سبيل المثال ، في بعض مواقع الويب ، تحتاج إلى تسجيل الدخول لرؤية كلمة التحقق. لكي تتمكن TesserCap من الوصول إلى captcha ، يجب أن يمر البرنامج في رؤوس طلبات HTTP مثل Accept و Cookie و Referrer وما إلى ذلك. باستخدام وكيل ويب (Fiddler و Burp و Charles و WebScarab و Paros وما إلى ذلك) ، يمكنك اعترض رؤوس الطلبات المرسلة وأدخلها في حقل إدخال رؤوس طلب Http. هناك خيار آخر سيكون مفيدًا بالتأكيد وهو Follow Redirects. النقطة المهمة هي أن TesserCap لا يتبع عمليات إعادة التوجيه افتراضيًا. إذا كان عنوان URL للاختبار يحتاج إلى اتباع إعادة التوجيه للحصول على الصورة ، فأنت بحاجة إلى تحديد هذا الخيار.

حسنًا ، يبقى الخيار الأخير ، والذي يمكّن / يعطل آلية المعالجة المسبقة للصور ، والتي سننظر فيها أكثر. افتراضيًا ، يتم تعطيل المعالجة المسبقة للصور. يقوم المستخدمون أولاً بإعداد مرشحات المعالجة المسبقة للصور وفقًا لصور CAPTCHA المختبرة ثم تنشيط هذه الوحدة. جميع صور CAPTCHA التي تم تحميلها بعد تمكين خيار تمكين المعالجة المسبقة للصور ، تتم معالجتها مسبقًا ثم نقلها إلى نظام Tesseract OCR لاستخراج النص.

واجهه المستخدم. علامة تبويب المعالجة المسبقة للصورة

حسنًا ، وصلنا إلى علامة التبويب الأكثر إثارة للاهتمام. هنا يتم تكوين الفلاتر لإزالة الضوضاء المختلفة والتشويش من حروف التحقق ، والتي تحاول تعقيد مهمة نظام التعرف قدر الإمكان. عملية إعداد مرشح عالمي بسيطة للغاية وتتكون من تسع خطوات. في كل مرحلة من مراحل المعالجة المسبقة للصورة ، يتم عرض تغييراتها. بالإضافة إلى ذلك ، تحتوي الصفحة على مكون تحقق يسمح لك بتقييم صحة التعرف على captcha عند تطبيق مرشح. دعونا نفكر في كل مرحلة بالتفصيل.

المرحلة 1. انعكاس اللون

تقوم هذه الخطوة بعكس ألوان البكسل لصور CAPTCHA. يوضح الكود أدناه كيفية حدوث ذلك:

بالنسبة إلى (كل بكسل في CAPTCHA) (إذا كان (invertRed صحيحًا) أحمر جديد = 255 - أحمر حالي إذا (كان invertBlue صحيحًا) أزرق جديد = 255 - أزرق حالي إذا كان (invertGreen صحيحًا) أخضر جديد = 255 - أخضر حالي)

غالبًا ما يؤدي عكس لون واحد أو أكثر إلى فتح إمكانيات جديدة للتحقق من صحة اختبار CAPTCHA.

المرحلة 2. تغيير اللون

في هذه الخطوة ، يمكنك تغيير مكونات اللون لجميع وحدات البكسل في الصورة. يمكن أن يحتوي كل حقل رقمي على 257 (1 إلى 255) قيمة ممكنة. بالنسبة لمكونات RGB لكل بكسل ، بناءً على القيمة الموجودة في الحقل ، يتم تنفيذ الإجراءات التالية:

  1. إذا كانت القيمة -1 ، فإن مكون اللون المقابل لا يتغير.
  2. إذا كانت القيمة ليست -1 ، تم العثور على جميع المكونات اللون المحدد(أحمر أو أخضر أو ​​أزرق) يتغير وفقًا للقيمة المدخلة في الحقول. تزيل القيمة 0 المكون ، وتضبط القيمة 255 أقصى حد له ، وهكذا.

المرحلة 3. تدرج الرمادي (تدرج الرمادي)

في الخطوة الثالثة ، يتم تحويل جميع الصور إلى صور ذات تدرج رمادي. هذه هي الخطوة الوحيدة المطلوبة لتحويل الصور التي لا يمكن تخطيها. اعتمادًا على الزر المحدد ، يتم تنفيذ أحد الإجراءات التالية المتعلقة بمكون اللون لكل بكسل:

  1. متوسط ​​-> (أحمر + أخضر + أزرق) / 3.
  2. الإنسان -> (0.21 * أحمر + 0.71 * أخضر + 0.07 * أزرق).
  3. متوسط ​​الحد الأدنى والحد الأقصى لمكونات اللون -> (الحد الأدنى (أحمر + أخضر + أزرق) + الحد الأقصى (أحمر + أخضر + أزرق)) / 2.
  4. الحد الأدنى -> الحد الأدنى (أحمر + أخضر + أزرق).
  5. الحد الأقصى -> الحد الأقصى (أحمر + أخضر + أزرق).

اعتمادًا على كثافة وتوزيع مكون اللون في CAPTCHA ، يمكن لأي من هذه المرشحات تحسين الصورة المستخرجة لمزيد من المعالجة.


المرحلة 4. الصقل والحدة

لجعل استخراج النص من صور CAPTCHA أكثر صعوبة ، تتم إضافة التشويش على شكل نقاط أحادية البكسل أو متعددة البكسل وخطوط غريبة وتشويه مكاني. عندما يتم تنعيم الصورة ، تزداد الضوضاء العشوائية ، والتي يتم التخلص منها بعد ذلك بواسطة مرشحات Bucket أو Cutoff. في تمرير الحقل العددي ، يجب أن تشير إلى عدد مرات تطبيق قناع الصورة المقابل قبل المتابعة إلى الخطوة التالية. دعنا نلقي نظرة على مكونات المرشح للتنعيم والشحذ. يتوفر نوعان من أقنعة الصور:

  1. أقنعة ثابتة. يحتوي TesserCap افتراضيًا على ستة من أقنعة الصور الأكثر شيوعًا. يمكن لهذه الأقنعة أن تنعم الصورة أو تزيد حدة الصورة (تحويل لابلاس). يتم عرض التغييرات على الفور بعد تحديد قناع باستخدام الأزرار المقابلة.
  2. أقنعة الصور المخصصة. يمكن للمستخدم أيضًا إعداد أقنعة معالجة صور مخصصة عن طريق إدخال القيم في الحقول الرقمية والنقر فوق الزر Save Mask. إذا كان مجموع المعاملات في هذه النوافذ أقل من الصفر ، فسيحدث خطأ ولا يتم تطبيق القناع. إذا حددت قناعًا ثابتًا ، فلن تحتاج إلى استخدام الزر Save Mask.

الخطوة 5. إدخال ظلال الرمادي

في هذه المرحلة من معالجة الصور ، يمكن تلوين وحدات البكسل الخاصة بها في نطاق واسع من ظلال الرمادي. يعرض هذا المرشح توزيع التدرج الرمادي في 20 مجموعة / نطاق. النسبة المئوية لوحدات البكسل الرمادية في النطاق من 0 إلى 12 في المجموعة 0 ، والنسبة المئوية للبكسل في التدرج الرمادي في النطاق من 13 إلى 25 موجودة في المجموعة 1 ، وما إلى ذلك. يمكن للمستخدم اختيار واحد مما يلي لكل نطاق من قيم تدرج الرمادي:

  1. اتركه كما هو.
  2. استبدل بالأبيض.
  3. استبدل بـ Black.

باستخدام هذه الخيارات ، يمكنك التحكم في نطاقات مختلفة من التدرج الرمادي وتقليل / إزالة التشويش عن طريق تغيير التدرج الرمادي إلى الأبيض أو الأسود.

الخطوة 6. ضبط القطع

يرسم هذا المرشح اعتماد قيمة المستوى الرمادي على تكرار التكرار ويطالبك بتحديد حد. يظهر مبدأ مرشح القطع أدناه في الرمز الكاذب:

If (قيمة تدرج الرمادي للبكسل<= Cutoff) pixel grayscale value = (0 OR 255) ->بناءً على الخيار المحدد (<= или =>: اضبط قيمة كل بكسل<=/=>الحد الأدنى إلى 0. المتبقي حتى 255)

يوضح الرسم البياني التوزيع التفصيلي لوحدات البكسل CAPTCHA حسب اللون ويساعد على إزالة الفوضى عن طريق اقتصاص قيم المستوى الرمادي.

الخطوة 7: التقطيع

بعد تطبيق مانع التشويش ، والقص ، والجرافة ، والمرشحات الأخرى ، يمكن أن تظل صور CAPTCHA مزدحمة بنقاط أحادية البكسل أو متعددة البكسل ، وخطوط غريبة ، وتشويه مكاني. مبدأ مرشح التقطيع هو كما يلي: إذا كان عدد البيكسلات المجاورة ، الملونة في ظل معين من الرمادي ، أقل من القيمة الموجودة في الحقل الرقمي ، فإن مرشح التقطيع يعين لهم قيمة 0 (أسود) أو 255 ( أبيض) حسب اختيار المستخدم. في الوقت نفسه ، يتم تحليل CAPTCHA أفقيًا وعموديًا.

المرحلة 8: تغيير عرض الحدود

وفقًا لمؤلف الأداة المساعدة ، أثناء البحث والتطوير الأولي لـ TesserCap ، أشار مرارًا وتكرارًا إلى أنه عندما يكون لصور CAPTCHA خط حد سميك ولونه مختلف عن الخلفية الرئيسية لـ CAPTCHA ، فإن بعض أنظمة التعرف الضوئي على الحروف لا يمكنها التعرف على النص. تم تصميم هذا المرشح لمعالجة الخطوط الحدودية وتغييرها. يتم تلوين خطوط الحدود بالعرض المحدد في الحقل الرقمي باللون الأسود أو الأبيض حسب اختيار المستخدم.

الخطوة 9: اقلب الصبغة الرمادية

يمر هذا المرشح عبر كل بكسل ويستبدل قيمة مستوى الرمادي الخاص به بقيمة جديدة ، كما هو موضح في الرمز الكاذب أدناه. يُستخدم انعكاس التدرج الرمادي لملاءمة الصورة مع إعدادات الألوان لنظام التعرف الضوئي على الحروف.

(لكل بكسل في CAPTCHA) قيمة تدرج الرمادي الجديدة = 255 - قيمة التدرج الرمادي الحالية

الخطوة 10: تحقق من التعرف على Captcha

الغرض من هذه الخطوة هو تمرير صورة CAPTCHA المجهزة مسبقًا إلى نظام التعرف الضوئي على الحروف للتعرف عليها. يلتقط زر Solve الصورة بعد مرشح انعكاس التدرج الرمادي ، ويرسلها إلى نظام OCR لاستخراج النص ، ويعرض النص الذي تم إرجاعه في واجهة المستخدم الرسومية. إذا كان النص الذي تم التعرف عليه يطابق النص الموجود في اختبار captcha ، فقد قمنا بتعيين عامل التصفية بشكل صحيح للمعالجة المسبقة. يمكنك الآن الانتقال إلى علامة التبويب "الخيارات" وتمكين خيار "تمكين المعالجة المسبقة للصور" لمعالجة جميع اختبارات CAPTCHA التي تم تحميلها لاحقًا.

التعرف على كلمة التحقق

حسنًا ، ربما درسنا جميع خيارات هذه الأداة ، والآن سيكون من الجيد اختبار بعض رموز التحقق للتحقق من القوة ..


نتيجة تحليل موقع captcha مع أولي
معالجة الصورة. على أساس النتائج ، مرشح
فشل في التقاط

لذلك ، أطلقنا الأداة وانتقلنا إلى موقع المجلة على الويب. نرى القائمة أخبار حديثة، انتقل إلى أول واحد يظهر وانتقل إلى المكان الذي يمكنك ترك تعليقك فيه. نعم ، ليس من السهل إضافة تعليق (بالطبع ، وإلا لكان قد تم إرساله إلى محتوى غير مرغوب فيه لفترة طويلة) - فأنت بحاجة إلى إدخال رمز التحقق (captcha). حسنًا ، دعنا نتحقق مما إذا كان يمكن أتمتة هذا. انسخ عنوان URL للصورة والصقه في شريط عنوان TesserCap. نشير إلى أنك بحاجة إلى تنزيل 12 كلمة التحقق ، والنقر فوق ابدأ. قام البرنامج بتحميل 12 صورة بحذر وحاول التعرف عليها. لسوء الحظ ، لم يتم التعرف على جميع حروف التحقق (captchas) ، كما يتضح من الكتابة الفاشلة تحتها ، أو تم التعرف عليها بشكل غير صحيح. بشكل عام ، هذا ليس مفاجئًا ، حيث لم تتم إزالة الضوضاء والتشويه الدخيل. هذا ما سنفعله الآن. انقر بزر الماوس الأيمن على إحدى الصور الـ 12 التي تم تحميلها وأرسلها إلى المعالج المسبق للإرسال إلى الصورة. بعد فحص جميع حروف التحقق الاثني عشر بعناية ، نرى أنها تحتوي على أرقام فقط ، لذا انتقل إلى علامة تبويب الخيارات وأشر إلى ضرورة التعرف على الأرقام فقط (مجموعة الأحرف = الأرقام). يمكنك الآن الانتقال إلى علامة التبويب المعالجة المسبقة للصور لتكوين المرشحات. يجب أن أقول على الفور أنه بعد اللعب بالفلاتر الثلاثة الأولى ("Color Inversion" ، "Color Change" ، "Grayscale") لم أجد أي تأثير إيجابي ، لذلك تركت كل شيء هناك افتراضيًا. لقد اخترت Smooth Mask 2 وقمت بتعيين عدد التمريرات على واحد. لقد تخطيت مرشح دلاء Grayscale وذهبت مباشرة إلى إعداد القطع. اخترت القيمة 154 وأشرت إلى أن وحدات البكسل الأصغر حجمًا يجب ضبطها على 0 وتلك الأكبر على 255. للتخلص من النقاط المتبقية ، قمت بتشغيل التقطيع وغيرت عرض الحدود إلى 10. لم يكن هناك جدوى من تضمين المرشح الأخير ، لذلك قمت على الفور بالنقر فوق Solve.

في رمز التحقق كان لدي الرقم 714945 ، لكن البرنامج تعرف عليه كـ 711435. هذا ، كما ترون ، خاطئ تمامًا. في النهاية ، بغض النظر عن مدى قوتي في القتال ، لم أنجح في التعرف على كلمة التحقق بشكل صحيح. اضطررت إلى تجربة pastebin.com ، والذي تمكنت من التعرف عليه دون أي مشاكل. ولكن إذا تبين أنك أكثر اجتهادًا وصبرًا وتمكّنت من الحصول على التعرف الصحيح على حروف التحقق من الموقع ، فانتقل فورًا إلى علامة تبويب الخيارات وقم بتمكين المعالجة المسبقة للصور (تمكين المعالجة المسبقة للصور). ثم انتقل إلى Main ، ومن خلال النقر فوق Start ، قم بتنزيل جزء جديد من captchas ، والتي ستتم معالجتها مسبقًا بواسطة الفلتر الخاص بك. بعد تشغيل البرنامج ، ضع علامة على رموز التحقق التي تم التعرف عليها بشكل صحيح / بشكل غير صحيح (الأزرار وضع علامة على أنها صحيحة / وضع علامة على أنها غير صحيحة). من الآن فصاعدًا ، يمكنك عرض إحصائيات موجزة عن التعرف باستخدام إظهار الإحصائيات. بشكل عام ، يعد هذا نوعًا من التقارير حول أمان اختبار CAPTCHA أو ذاك. إذا كان السؤال يتعلق باختيار حل أو آخر ، فبمساعدة TesserCap ، من الممكن تمامًا إجراء الاختبار الخاص بك.

نتيجة التحقق من اختبار CAPTCHA على المواقع الشهيرة

موقع الويب وحصة رموز التحقق المعترف بها:

  • ويكيبيديا> 20-30٪
  • موقع ئي باي> 20-30٪
  • reddit.com> 20-30٪
  • سي إن بي سي> 50٪
  • foodnetwork.com> 80-90٪
  • dailymail.co.uk> 30٪
  • megaupload.com> 80٪
  • pastebin.com> 70-80٪
  • cavenue.com> 80٪

استنتاج

تعد صور CAPTCHA واحدة من أكثر الآليات فعالية لحماية تطبيقات الويب من الملء الآلي للنماذج. ومع ذلك ، فإن اختبارات CAPTCHA الضعيفة ستكون قادرة على الحماية من الروبوتات العشوائية ولن تقاوم المحاولات المستهدفة لحلها. مثل خوارزميات التشفير ، تعد صور CAPTCHA ، التي تم اختبارها بدقة وتوفيرها بمستوى عالٍ من الأمان ، هي الأكثر أفضل طريقةالحماية. استنادًا إلى الإحصائيات التي قدمها مؤلف البرنامج ، اخترت reCaptcha لمشاريعي وسأوصي به لجميع أصدقائي - اتضح أنه الأكثر ثباتًا بين أولئك الذين تم اختبارهم. على أي حال ، لا تنس أن هناك العديد من الخدمات على الويب تقدم حل CAPTCHA شبه آلي. من خلال واجهة برمجة تطبيقات خاصة ، تقوم بنقل صورة إلى الخدمة ، وتعيد الخدمة حلاً بعد وقت قصير. شخص حقيقي (على سبيل المثال ، من الصين) يحل كلمة التحقق ، ويحصل على قرش جميل خاص به. لم يعد هناك أي حماية. 🙂