这是一个创建于 235 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司要上个免账号就能参加的活动吸引潜在用户(面向国外),Google 登录还是会劝退很多不小心点进广告的用户。我弄了个简单 xor 加密,还采集了一点页面点击事件和 selenium 等会留下的 webdriver 特征加在后面,javascript-obfuscator 各项全拉满,不到一小时就被灰产大佬破解了。然后我尝试了一下某国产 VMP 混淆,还是一早上就被破解了。后来又了解到 akamai bot manager 、incapsula 、F5 shape 的风控,但 Discord 上问了下全都有打码平台可以过。
17 条回复 • 2024-03-15 14:21:05 +08:00
 |
1
fd9xr 235 天前 via iPhone
……打码平台是真人啊 怎么防
|
 |
2
lovestudykid 235 天前
hh ,发在这里可能不合适,不过还是想求推荐打码平台
|
 |
3
drymonfidelia OP |
 |
4
google2020 235 天前
reCAPTCHA v3 是谷歌自己都在用的风控模型和验证码,如果这都能过,设备是很干净的了,只能要求登录了。
|
 |
5
sunshijie 235 天前
直接上 akamai
|
 |
6
0o0O0o0O0o 235 天前 via iPhone
这类服务自己定制不现实,想要修改提交数据就需要反代,而反代操作就会影响它的风控
你描述的这样的对抗强度,再配合你提到的业务,我觉得无解 |
 |
7
helone 235 天前
@drymonfidelia 打码平台确实大部分都是真人,虽然现在 AI 很便宜,有些真人无法识别的 AI 都能过,但是真人比 AI 便宜的多
|
|
8
drymonfidelia OP @sunshijie 能过 akamai 的服务很。 主流的几家 cs 之类的都有过 akamai bot manager 的服务,只是 akamai 法务会投诉,他们一般不直接在官网宣传,找客服会给你发接口和价格
|
|
9
drymonfidelia OP @0o0O0o0O0o token 是提交到自己服务器,自己服务器再发回去校验的
|
|
10
drymonfidelia OP @google2020 几乎所有打码平台都有过 recaptchav3 的服务,1000 次调用 0.3 美元的都有,出来的 score 全是 0.9
|
|
11
0o0O0o0O0o 235 天前 via iPhone
@drymonfidelia #9 你是指不干涉 recaptcha 的逻辑,execute 调用完了,只在回调里混淆一下吗?那我觉得你自研更没戏了,因为你提到你要对抗的目标已经可以轻松应对公开的 javascript-obfuscator 和 VMP 产品了。
|
 |
12
iyiluo 235 天前
防不住,尽量从业务方面入手吧,现在的灰产已经产业化了
|
 |
13
RTSmile 235 天前 via iPhone
凡是在前端防破都是瞎使劲,没用的。
|
 |
14
ShinichiYao 235 天前
@helone 哈哈哈哈 扎心了
|
|
15
drymonfidelia OP @helone 现在 AI 成本也不高了,加上很多小打码平台用盗刷的信用卡付租机器的钱,用脚本的也多了(我在的 discord server 里有几个打码平台的老板,知道一些内幕)
|
 |
16
cherryas 235 天前
反爬只能反并发
没有并发要求的话 油猴+pyautogui+ai ocr 治一切 |
|
17
drymonfidelia OP @cherryas 问题是灰产就是在并发,一天被刷好几万
|
Select Language