有什么简单的方案能对 recaptcha 的 token 进行混淆，防止只要会用打码平台就能刷接口？

公司要上个免账号就能参加的活动吸引潜在用户（面向国外），Google 登录还是会劝退很多不小心点进广告的用户。我弄了个简单 xor 加密，还采集了一点页面点击事件和 selenium 等会留下的 webdriver 特征加在后面，javascript-obfuscator 各项全拉满，不到一小时就被灰产大佬破解了。然后我尝试了一下某国产 VMP 混淆，还是一早上就被破解了。后来又了解到 akamai bot manager 、incapsula 、F5 shape 的风控，但 Discord 上问了下全都有打码平台可以过。

drymonfidelia

2024-03-15 08:37:35 +08:00

@fd9xr 现在大部分都是脚本了
@lovestudykid 自己搜，在这里推荐不合适

google2020

2024-03-15 08:58:31 +08:00

reCAPTCHA v3 是谷歌自己都在用的风控模型和验证码，如果这都能过，设备是很干净的了，只能要求登录了。

0o0O0o0O0o

2024-03-15 09:10:31 +08:00

这类服务自己定制不现实，想要修改提交数据就需要反代，而反代操作就会影响它的风控

你描述的这样的对抗强度，再配合你提到的业务，我觉得无解

helone

2024-03-15 09:13:43 +08:00

@drymonfidelia 打码平台确实大部分都是真人，虽然现在 AI 很便宜，有些真人无法识别的 AI 都能过，但是真人比 AI 便宜的多

drymonfidelia

2024-03-15 09:42:14 +08:00

@sunshijie 能过 akamai 的服务很。主流的几家 cs 之类的都有过 akamai bot manager 的服务，只是 akamai 法务会投诉，他们一般不直接在官网宣传，找客服会给你发接口和价格

drymonfidelia

2024-03-15 09:43:36 +08:00

@0o0O0o0O0o token 是提交到自己服务器，自己服务器再发回去校验的

drymonfidelia

2024-03-15 09:57:02 +08:00

@google2020 几乎所有打码平台都有过 recaptchav3 的服务，1000 次调用 0.3 美元的都有，出来的 score 全是 0.9

0o0O0o0O0o

2024-03-15 10:33:37 +08:00

@drymonfidelia #9 你是指不干涉 recaptcha 的逻辑，execute 调用完了，只在回调里混淆一下吗？那我觉得你自研更没戏了，因为你提到你要对抗的目标已经可以轻松应对公开的 javascript-obfuscator 和 VMP 产品了。

drymonfidelia

2024-03-15 12:21:32 +08:00

@helone 现在 AI 成本也不高了，加上很多小打码平台用盗刷的信用卡付租机器的钱，用脚本的也多了（我在的 discord server 里有几个打码平台的老板，知道一些内幕）

cherryas

2024-03-15 13:46:27 +08:00

反爬只能反并发
没有并发要求的话油猴+pyautogui+ai ocr 治一切

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1023803

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.