В отличие от традиционных систем распознавания пользователя как человека, путём введения определённого набора символов и цифр, система reCAPTCHA предлагает пользователю ввести два слова. Одно из них уже распознано и известно системе, другое слово системе неизвестно и не может быть распознано программой распознавания текста. Проверка ввода осуществляется по тому слову, которое известно системе. Неизвестное системе слово, введённое пользователем, сохраняется и используется в качестве возможного варианта распознания. Конечное распознание слова определяется путём вычисления наиболее часто используемого слова для ввода. Система reCAPTCHA предоставляет изображения для распознавания и собирает результаты, после чего передает их организаторам оцифровки материалов.
reCAPTCHA and other CAPTCHA service providers validate millions of CAPTCHAs each day and protect thousands of websites against the intertube bots. A secure CAPTCHA generation and validation ecosystem forms the basis of the mutual trust model and large scale damage can happen if any component of this ecosystem is compromised.
The presentation explains third party CAPTCHA provider integration and explains vulnerabilities that affect almost every CAPTCHA provider including reCAPTCHA. These vulnerabilities can be exploited to completely bypass the protection offered by CAPTCHA providers. A new signature based tool clipcaptcha will be introduced and released that can be used to exploit these vulnerablities to bypass CAPTHCA provider protection. clipcaptcha's operational modes will be demonstrated. The operational modes include the following three mondes among others:
Avalanche Mode: All CAPTCHA validation requests are approved.
Stealth Mode: Only attacker provided CAPTCHAs are approved.
DoS Mode: All CAPTCHA validation requests are denied.
Demonstrations will explain these modes along with live CAPTCHA provider bypass on the test server.
И еще несколько подобных работ с начала этого года.
Делай как я: всегда вводи одно слово с картинки, второе рандомным избиением клавиш. Не угадал, какое слово проверочное - не беда, у тебя овер9к попыток, как правило в 10 попыток укладываешься. И так до тех пор, пока для этой страны не начнут давать русскоязычные капчи.
На этой конкретно оно первое. Второе как раз проверочное. Их довольно легко различить на самом деле. Проверочные всегда генерируются одним алгоритмом (который впрочем меняется), они всегда представляют из себя тупо набор связных букв, а второе обычно - вполне себе слово.