당신은 주제를 찾고 있습니까 “캡챠 인증 – reCaptcha, hCaptcha 우회하기“? 다음 카테고리의 웹사이트 ppa.maxfit.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://ppa.maxfit.vn/blog/. 바로 아래에서 답을 찾을 수 있습니다. 작성자 비누_KeepSOBP 이(가) 작성한 기사에는 조회수 7,114회 및 좋아요 89개 개의 좋아요가 있습니다.
캡챠 인증 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 reCaptcha, hCaptcha 우회하기 – 캡챠 인증 주제에 대한 세부정보를 참조하세요
구글 리캡챠 우회 방법은 컴퓨터만 가능하고(모바일은 Kiwi Browser 쓰면 되긴 함), hCaptcha 우회 방법은 쿠키 지원하는 모든 브라우저라면 가능합니다.
reCaptcha 우회 확장 프로그램
크롬 : https://chrome.google.com/webstore/detail/buster-captcha-solver-for/mpbjkejclgfgadiemmefgebjfooflfhl/
파이어폭스 : https://addons.mozilla.org/en-US/firefox/addon/buster-captcha-solver/
마이크로소프트 엣지 : https://microsoftedge.microsoft.com/addons/detail/admkpobhocmdideidcndkfaeffadipkc/
오페라 : https://addons.opera.com/en/extensions/details/buster-captcha-solver-for-humans/
hCaptcha 접근성 사이트
https://dashboard.hcaptcha.com/signup?type=accessibility
(로그인하실때도 이 링크를 사용해주세요)
reCaptcha 테스트 사이트
https://patrickhlauke.github.io/recaptcha/
hCaptcha 테스트 사이트
https://2captcha.com/demo/hcaptcha
참고로 그 유명한 로블록스 사이트에서 쓴다는 funCaptcha는 아쉽게도 무료로선 쉬운 방법이 없습니다.
나온다면 최대한 빨리 영상 만들어 보겠습니다
————————————–
https://c11.kr/ssps
Square Short Project를 진행하기 위해 여러분들의 도움이 필요합니다! 댓글에 #ssp 와 함께 설치/팁 주제를 적어주세요!
ex) #ssp 디스코드 봇 초대에 대해 해주세요
Discord
https://discord.link/bread
Donate
https://toon.at/donate/bread
BGM Ehrling – S.A.X.
https://www.youtube.com/watch?v=OR0ThmZnvbM
#Shorts
캡챠 인증 주제에 대한 자세한 내용은 여기를 참조하세요.
CAPTCHA – 나무위키:대문
이런 식으로 인증 처리를 할 경우 전화번호 등의 개인정보가 사이트에 저장이 되니 해킹당하면 개인의 신상정보가 속절 없이 털리기 때문이다. 대신 …
Source: namu.wiki
Date Published: 7/3/2021
View: 4323
캡차의 의미와 캡차 인증이 필요한 이유 – NordVPN
캡챠 인증에서는 위와 같이 구불구불한 모양의 문자가 표시되며, 웹사이트에 접속하려면 표시된 문자를 정확히 입력해야 합니다.
Source: nordvpn.com
Date Published: 3/2/2022
View: 1441
“단순 개인 인증인 줄 알았는데”…’캡챠’ 위장한 악성파일 유포 …
캡차는 이용자가 실제 사람이 아니라 ‘봇’ 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 …
Source: www.donga.com
Date Published: 10/23/2022
View: 3929
구글 캡챠 인증 – 리캡챠 v2 – jinibh
구글 캡챠 인증 – 리캡챠 v2 … 위 그림이 리캡챠입니다. … 조사를 하다보니 캡챠무력화, 캡차푸는법, 캡챠해킹 등의 키워드로 검색해서 저걸 뚫고 …
Source: jinibh.tistory.com
Date Published: 4/14/2022
View: 3251
CAPTCHA 인증방식 원리 – hi098123
CAPTCHA는 주로 사람인지 봇인지를 구분하기위해 만들어진 인증방식입니다. 아래와 같은 문구를 본적 있을겁니다. 자동화된 봇을 차단하기 위해 캡챠 …
Source: hi098123.tistory.com
Date Published: 5/16/2021
View: 8958
안랩 “가짜 캡챠 이미지에 속지 마세요” – 세이프타임즈
캡챠는 이용자가 실제 사람이 아닌 봇 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술로 문자 입력하기, 그림 맞추기 등 다양한 방식 …
Source: www.safetimes.co.kr
Date Published: 3/26/2022
View: 4645
CAPTCHA의 작동 방식 | CAPTCHA의 의미 – Cloudflare
CAPTCHA는 “컴퓨터와 인간을 구분하기 위한, 완전 자동화된 공개 튜링 테스트(Completely Automated Public Turing test to tell Computers and Humans Apart.)”의 약자 …
Source: www.cloudflare.com
Date Published: 8/12/2021
View: 9765
가짜 ‘캡챠’ 이미지로 악성 웹사이트 접속 유도하는 ‘피싱 PDF’ 주의!
캡챠(CAPTCHA)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술로, 문자 입력하기와 그림 …
Source: www.boannews.com
Date Published: 9/7/2021
View: 4168
캡챠(CAPTCHA)를 알아보자 (로봇이 아닙니다! ) – velog
이를 위하여 여러 사이트에서 CAPTCHA를 사용하여 반복된 사이트 접속 처단, 회원가입, 사용자 인증, 게시물 게시 등에 사용이 되고 있습니다.
Source: velog.io
Date Published: 1/18/2022
View: 2669
주제와 관련된 이미지 캡챠 인증
주제와 관련된 더 많은 사진을 참조하십시오 reCaptcha, hCaptcha 우회하기. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 캡챠 인증
- Author: 비누_KeepSOBP
- Views: 조회수 7,114회
- Likes: 좋아요 89개
- Date Published: 2021. 1. 30.
- Video Url link: https://www.youtube.com/watch?v=La7ZN5abFSg
캡차의 의미와 캡차 인증이 필요한 이유
캡차의 의미와 원리
캡차(CAPTCHA)는 컴퓨터와 사람을 구분하기 위한 완전 자동화된 공개 튜링 테스트(Completely Automated Public Turing test to tell Computers and Humans Apart)의 약자로, 웹사이트나 서비스에 접속하는 사용자가 인간인지 판단하기 위해 이용됩니다.
캡챠 인증에서는 위와 같이 구불구불한 모양의 문자가 표시되며, 웹사이트에 접속하려면 표시된 문자를 정확히 입력해야 합니다. 문자를 잘못 입력하는 경우에는 사용자가 사람이 아니라고 판단되어 웹사이트 접속이 제한됩니다.
보통 컴퓨터는 구불구불한 모양으로 왜곡된 문자를 인식하기 어려워하는 반면, 사람은 다양한 모양의 문자를 손쉽게 인식할 수 있습니다. 이 때문에 캡차는 여러 웹사이트와 서비스에서 인간과 컴퓨터를 구분하기 위해 사용되어 왔습니다.
하지만 기술이 발전함에 따라 왜곡된 문자도 인식할 수 있는 고급 봇이 만들어지게 되었으며, 캡차만으로는 사용자가 인간인지 컴퓨터인지를 완벽하게 구분하기가 힘들어졌습니다. 이렇게 문자 인식만으로는 인간과 컴퓨터를 구분하기 힘들어짐에 따라 새로운 테스트의 필요성이 대두되었습니다.
리캡차의 의미와 동작 원리
구글 리캡차(ReCAPTCHA)는 기존 캡차 테스트의 한계를 보완하기 위해 카네기 멜론 대학교의 연구원들이 개발한 기술로, 2009년에 구글이 기술을 인수했으며 현재 구글에서 무료로 리캡차 서비스를 제공하고 있습니다. 리캡차는 점점 더 많은 웹사이트와 서비스에서 사용되고 있는 기술입니다.
리캡차는 캡차 테스트에서 사용된 문자 인식뿐만 아니라 다양한 방식으로 사용자가 인간인지 컴퓨터인지를 판단합니다. 이제 리캡차가 사용하는 방식의 종류를 살펴보도록 하겠습니다.
문자 인식 테스트
리캡차의 문자 인식 테스트는 캡차보다 뛰어난 성능을 발휘합니다. 리캡차에서는 여러 단어로 구성된 문자가 표시되며, 문자를 흐리게 처리하는 등 다양한 효과를 통해 컴퓨터의 문자 인식을 더욱 어렵게 하는 장치가 마련되어 있습니다. 특히 캡차와 달리 표지판, 책, 신문 등 실제 문자 인식 이미지를 제공함으로써 테스트의 신뢰도를 높이고 있습니다.
또한 리캡차의 문자 인식 테스트를 통해 수집된 정보는 인공 지능 프로젝트에도 도움이 됩니다. 리캡차를 통해 매일 수백만 명의 사용자가 읽기 어렵고 흐릿한 텍스트를 식별하는 작업을 진행하게 되며, 이러한 데이터는 인공 지능 컴퓨터 프로그램의 성능을 향상하는 데 활용됩니다.
이미지 인식 테스트
리캡차 테스트의 다른 방식으로는 이미지 인식이 있습니다. 이미지 인식 테스트에서는 임의의 사진이 제공되며, 사용자는 제공된 사진에서 임의의 물체가 포함된 타일을 찾아 클릭해야 합니다. 사용자가 선택한 답변이 대다수의 다른 사용자의 답변과 일치한다면 정답으로 간주됩니다.
사람은 쉽게 이미지를 구별할 수 있는 능력이 있지만, 컴퓨터는 고급 인공 지능을 활용하지 않는 이상 이미지를 구분하는 데 어려움을 겪는다는 점에서 아이디어를 얻은 테스트라고 할 수 있습니다. 특히 이미지 인식에는 텍스트 인식보다 더 고급 기술이 필요하기에 테스트 성능도 문자 인식보다 더 높다고 할 수 있습니다.
이미지 인식의 데이터도 문자 인식 테스트와 마찬가지로 수집되어 인공 지능 컴퓨터 프로그램의 성능을 향상하는 데 활용됩니다. 인공 지능의 이미지 인식 성능을 개선하려면 방대한 데이터가 필요함에 따라 이미지 인식 테스트가 표시되는 경우도 많아지고 있습니다.
체크박스 테스트
다음 테스트 방식으로는 체크박스 테스트 방식이 있습니다. 사실 체크박스 테스트를 처음 접하면 테스트를 진행하는 의미가 있는지 의아할 수 있습니다. ‘로봇이 아닙니다(I’m not a robot)’이라는 문구 옆의 체크박스를 클릭하기만 하면 테스트가 완료되기 때문입니다.
하지만 체크박스 테스트에서는 체크박스를 클릭했는지가 중요한 것이 아니라 ‘어떻게’ 체크박스를 클릭했는지가 중요합니다. 예를 들어 사람이라면 체크박스를 클릭하기 전에 마우스 커서를 자연스럽게 움직이겠지만, 컴퓨터라면 바로 체크박스를 클릭할 것입니다.
이렇게 체크박스 테스트에서는 체크박스를 클릭하는 과정을 감지해 사용자가 인간인지 컴퓨터인지를 파악합니다. 또한 체크박스 테스트 중 사용자 장치에 저장된 쿠키와 장치 이력을 확인해 사용자가 컴퓨터일 가능성이 있는지도 확인합니다.
체크박스 테스트로 사용자가 인간인지 컴퓨터인지를 판단할 수 없는 경우에는 위에서 설명한 문자 인식 테스트와 이미지 인식 테스트를 다시 진행하기도 합니다. 하지만 보통 체크박스 테스트로도 충분히 사용자 파악이 가능하며 테스트 방법이 간단하다는 장점 때문에 널리 사용되고 있습니다.
사용자 행동 분석 테스트
사용자 행동 분석 테스트는 위의 3가지 방법과는 약간 다릅니다. 사용자에게 테스트 화면이 표시되지 않기 때문입니다. 사용자 행동 분석 테스트에서는 리캡차가 사용자가 인간인지 컴퓨터인지를 자동으로 파악하며 컴퓨터라고 의심되는 경우에는 웹사이트나 서비스의 이용을 제한합니다.
웹사이트나 서비스를 이용하는 중 검색어를 반복해서 여러 번 입력하거나 많은 링크를 한 번에 클릭하는 경우 이용이 제한될 때가 있습니다. 이때는 리캡차의 사용자 행동 분석 테스트에 비정상적인 행동이 감지되었기 때문일 수 있습니다.
캡차와 리캡차가 필요한 이유
캡차와 리캡차는 웹사이트와 서비스를 이용하는 사용자가 실제 인간인지 파악하고, 컴퓨터로 인해 발생할 수 있는 다양한 문제를 방지하는 데 중요한 역할을 합니다. 캡차와 리캡차가 없다면 다음과 같은 문제가 발생할 수 있습니다.
설문 조사 결과를 조작하는 행위
하나의 웹사이트나 서비스에 단시간에 여러 계정으로 로그인하는 행위
단시간에 수많은 계정을 생성하는 행위
온라인 쇼핑몰에서 자동으로 물건을 구매하거나 판매하는 행위
사람만 이용하도록 설계된 웹사이트나 서비스에 침투하는 행위
또한 위에서 설명했듯이 캡차와 리캡차를 통해 수집된 데이터는 인공 지능 프로그램의 성능을 향상하기 위한 용도로 활용됩니다. 테스트를 진행하고 데이터를 수집하는 입장에서는 봇으로 인한 악의적인 행위를 차단하는 동시에 유용한 데이터를 확보할 수 있다는 장점이 있습니다.
캡차와 리캡차의 단점과 한계
캡차와 리캡차가 웹사이트와 서비스의 보안을 확보하는 유용한 기술이기는 하지만, 캡차와 리캡차에도 한계는 분명히 존재합니다. 캡차와 리캡차의 단점과 한계는 다음과 같습니다.
서비스 이용 방해
캡차와 리캡차의 첫 번째 단점은 사용자가 서비스를 이용하는 과정을 방해한다는 것입니다. 특히 문자 인식 테스트와 이미지 인식 테스트는 정답을 찾기까지 오랜 시간이 걸릴 때가 있으며, 이에 대해 불만을 토로하는 사용자도 쉽게 찾아볼 수 있습니다.
체크박스 테스트와 사용자 행동 분석 테스트는 상대적으로 간편한 테스트 방식입니다. 하지만 이러한 테스트 방식도 서비스 이용에 방해가 될 때가 있으며, 사용자가 서비스 이용을 아예 포기하게 되는 결과가 초래될 수 있습니다.
저시력자나 시각 장애인은 테스트 불가
캡차 테스트, 리캡차의 문자 인식 테스트와 이미지 인식 테스트는 시력에 의존합니다. 이 때문에 시각 장애인은 테스트를 통과하기가 힘들며, 시력이 낮은 사람에게도 불편한 테스트 방식입니다.
또한 저시력자가 아니더라도 노인과 같이 컴퓨터에 익숙하지 않은 사용자도 캡차와 리캡차 테스트를 어려워하는 경우가 있습니다. 이미 노인과 장애인이 컴퓨터 사용에 어려움을 겪는 때가 많다는 것을 생각하면 큰 단점이라고 할 수 있습니다.
봇 완벽 차단 불가
캡차와 리캡차가 인간 사용자와 컴퓨터를 구분하는 효율적인 방식이기는 하지만 모든 봇을 차단할 수는 없습니다. 이미 문자 인식 테스트를 통과할 수 있는 봇이 존재하며, 이미지 인식 테스트와 체크박스 테스트도 기술이 발전함에 따라 완벽한 차단 성능을 보장하기가 어려워졌습니다.
특히 봇이 아니라 여러 명의 사람을 고용해 악의적인 행위를 하는 경우에는 캡차와 리캡차가 도움이 되지 않으며, 콘텐츠 스크랩 봇, 자격 증명 스터핑 봇, 스팸 봇을 차단할 수 없다는 단점이 있습니다.
웹사이트나 서비스가 캡차와 리캡차를 활용하고 있는 경우에도 악의적인 공격이 발생할 수 있다는 사실을 알고 있어야 합니다. 개인 사용자라면 내 아이피를 가상 아이피로 대체할 수 있는 VPN 등 다른 보안 소프트웨어를 통해 추가적인 보안을 확보할 것을 추천합니다.
“단순 개인 인증인 줄 알았는데”…‘캡챠’ 위장한 악성파일 유포 주의보
피싱 PDF 문서 화면 (안랩 제공) © 뉴스1
안랩은 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠’(CAPTCHA)로 위장해 악성 웹사이트로 접속을 유도하는 ‘피싱 PDF’ 문서를 발견했다며 9일 이용자 주의를 당부했다.캡차는 이용자가 실제 사람이 아니라 ‘봇’ 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술이다. 문자 입력하기, 그림 맞추기 등 다양한 방식 활용해 정상 이용자를 판별한다.안랩이 최근 발견한 피싱 PDF 문서 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함됐다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다.만약 이용자가 캡챠 인증 이미지를 클릭하면 이용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 웹사이트는 도박·불법 성인사이트 뿐 아니라 ‘트로이목마 악성코드’ 설치 유도 페이지로도 나타난다.피해를 예방하기 위해서는 Δ출처가 불분명한 파일 실행금지 Δ인터넷상 파일 다운로드 시 정식 다운로드 경로 이용 Δ오피스 소프트웨어(SW), 운영체제(OS) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 Δ백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다.최수진 안랩 분석팀 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”며 “이용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”고 강조했다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다.(서울=뉴스1)
구글 캡챠 인증 – 리캡챠 v2
728×90
반응형
리액트를 공부해서 간단한 프로젝트를 진행하고 있습니다. 분명 간단한 프로젝트인데 리액트가 처음이라 삽질을 많이 하고 있습니다 ㅠㅠ 웹 페이지이기 때문에 서비스를 서버에 올려야 합니다. 트래픽이 많아지면 많아질수록 비용이 나갑니다. 정상적인 트래픽이라면 광고라도 붙여서 돈을 벌 수 있겠지만 악의적으로 작업을 반복하거나 봇을 사용하면 엄청난 비용이 나가겠죠.(클라이언트만 할 때는 이런 고민 없었는데..ㅠㅠ)
트래픽 과부하를 막기위해 구글 리캡차를 이용하기로 했습니다. 위 그림이 리캡챠입니다. 인터넷하다가 한번쯤은 만나게 됩니다.
조사를 하다보니 캡챠무력화, 캡차푸는법, 캡챠해킹 등의 키워드로 검색해서 저걸 뚫고 싶어하는 사람이 많다는 것을 알게 되었습니다.
웹페이지에서 구글이 만든 튜링 테스트를 뚫는다면 인정합니다!!. 하지만 리캡차를 사용하면 API 콜을 직접 날릴 수 없기 때문에 캡차를 붙이는 게 유리하다고 생각했습니다.
설명은 아래에서..
reCAPTCHA v2 는 대충 이런식으로 되어 있습니다.
위 작업을 하기 위해서는 먼저 구글에서 사이트키와 비밀키가 필요합니다. 사이트키는 웹사이트에서 사용하고 비밀키는 서버에서 사용합니다.
캡챠를 누릅니다. 봇이 아닌것 같으면 구글로 요청을 보냅니다. 키를 줍니다. 키와 함께 리퀘스트를 날립니다. 내가 보낸 키로 구글에 인증을 요청합니다. 인증 결과를 줍니다. 인증이 잘 맞으면 웹사이트로 결과를 보내줍니다.
https://www.google.com/recaptcha/admin/create
reCAPTCHA v2 위 링크로 들어가면 키를 만들 수 있습니다.
제출하면 키가 나옵니다.
const recaptchaRef = createRef
(); recaptchaRef.current.getValue(); npm 패키지는 이걸 사용했습니다.
https://www.npmjs.com/package/react-google-recaptcha
캡차를 통과하면 recaptchaRef.current.getValue()에 값이 들어 있습니다.
const response = await fetch( `https://www.google.com/recaptcha/api/siteverify?secret=${process.env.RECAPTCHA_SECRET_KEY}&response=${body.captcha}`, { headers: { “Content-Type”: “application/x-www-form-urlencoded; charset=utf-8”, }, method: “POST”, } ); const captchaValidation = await response.json(); if (captchaValidation.success == false) { // 에러 리턴 }
서버 쪽 코드입니다. 프론트에서 보낸 키를 구글쪽에 확인하면 됩니다.
반응형
CAPTCHA 인증방식 원리
CAPTCHA는 주로 사람인지 봇인지를 구분하기위해 만들어진 인증방식입니다.
아래와 같은 문구를 본적 있을겁니다.
자동화된 봇을 차단하기 위해 캡챠를 사용합니다.
스팸을 방지하기위해 캡챠를 사용합니다.
그렇다면, 사람인지 봇인지 구분을 하는 기능이 있겠죠?
사람과 봇을 구분하기 위해서
주로 이미지를 이용해서 이미지 안에 작성된 문자를 입력하게끔 시키는 경우
시각 장애인을 배려하기위해 음성으로 발음되는 문자를 입력하도록 요구하는 경우
이미지 주제를 정해두고 같은 주제의 이미지를 선택하도록 요구하는 경우
이렇게 3가지 방식이 주로 사용됩니다.
요즘에는 많은 사이트에서 구글 리캡챠(reCAPTCHA)를 사용하는데 위의 3방식은 사람이 하기에 번거롭기 때문에 귀찮고 싫다는 인식이 대부분입니다.
그래서 추가적으로 로그인된 구글계정이 있다면, 이미지나 음성확인 대신 이전의 평판으로 번거로운 과정을 건너뛰고 바로 체크표시가 뜹니다.
Google사의 reCAPTCHA
기본적인 원리
기본적인 원리를 설명해보고자 합니다.
코드는 사용하지 않고 단순히 원리를 소개할것입니다.
사용자가 특정 기능에 접근하려고 합니다. 서버에서 캡챠를 생성합니다. 임의의 문자/숫자등을 생성합니다. 세션(또는 DB)에 저장하여 서버만 정답이 무엇인지 알 수 있습니다. 생성한 문자(또는 숫자)를 이미지화 하여 기계가 판독하기 어렵게 만듭니다. 서버에서 생성된 이미지가 표시됩니다. 이미지에 답을 사용자가 작성하고 전송합니다. 답이 일치하는지 확인하여 다시 캡챠를 보여주거나, 통과 페이지를 보여줍니다.
위의 과정은 기본적인 이미지 방식 캡챠입니다. 음성기능은 동일한 과정에서 이미지만 TTS로 바꿔 생성할 수 있습니다.
단점
사용자가 매우 귀찮아집니다.
모든 스팸을 막아주진 못합니다.
AI를 이용하는 경우 대부분 뚫릴 가능성이 큽니다.
장점
스팸이 줄어듭니다.
예를들어, 홈페이지 회원가입기능을 자동화 한 봇이 있다면, 회원수가 무한히 늘어나고, 서버용량이 가득차서 사이트가 이용불가하게 만드는 악성 사용자가 있다면, 캡챠로 이를 방지 할 수 있습니다.
홍보성 댓글을 자동화한 봇이 스팸홍보를 계속한다면 이를 이용해 방지 할 수도 있습니다.
reCAPTCHA
reCAPTCHA를 이용하시려면 공식문서를 확인해주세요.
안랩 “가짜 캡챠 이미지에 속지 마세요”
▲ 피싱 PDF 문서 화면. ⓒ 안랩
안랩은 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서를 발견해 사용자의 주의가 필요하다고 9일 밝혔다.
캡챠는 이용자가 실제 사람이 아닌 봇 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술로 문자 입력하기, 그림 맞추기 등 다양한 방식으로 정상 이용자를 판별한다.
안랩이 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다.
만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드’ 다운로드, 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다.
V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다.
안랩은 피해를 예방하기 위해서는 △출처 불분명 파일 실행금지 △정식 다운로드 경로 이용 △오피스 SW, OS·인터넷 브라우저 등 프로그램 최신 보안 패치 적용 △백신 최신버전 유지·실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다고 설명했다.
최수진 안랩 분석팀 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”며 “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”고 말했다.
▶클릭하면 세이프타임즈 후원 안내를 받을 수 있습니다
저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 무단전재 및 재배포 금지
가짜 ‘캡챠’ 이미지로 악성 웹사이트 접속 유도하는 ‘피싱 PDF’ 주의!
▲피싱 PDF 문서화면[자료=안랩] [보안뉴스 원병철 기자] 최근 사람과 로봇을 구별하기 위한 인증 수단인 ‘캡챠(CAPTCHA)’를 위장한 이미지로 악성 웹사이트 접속을 유도하는 ‘피싱 PDF’ 문서가 발견돼 사용자의 주의가 당부된다. 캡챠(CAPTCHA)는 이용자가 실제 사람이 아니라 봇(Bot) 등에 의한 비정상적 이용자인지 판별하기 위해 사용하는 인증 기술로, 문자 입력하기와 그림 맞추기 등 다양한 방식 활용해 정상 이용자를 판별한다.안랩(대표 강석균)이 이번에 발견한 피싱 PDF 문서의 첫 페이지에는 악성 링크로 연결되는 캡챠 위장 이미지가 포함돼 있다. 이어지는 페이지에는 의미 없는 내용의 문자가 무작위로 적혀있다.만약 사용자가 속아 캡챠 인증 이미지를 클릭하면 사용자의 접속 환경(IP, 접속 국가 등)에 따라 공격자가 미리 설정해놓은 악성 웹사이트로 자동 연결된다. 연결되는 악성 웹사이트는 사용자 PC에 ‘트로이목마 악성코드(Trojan)’ 다운로드, 악성 크롬 확장프로그램 설치 등을 유도하는 웹사이트부터 도박, 불법 성인물 사이트, 광고 웹사이트까지 다양하다. 현재 V3는 해당 피싱 PDF 문서 파일을 진단 및 실행 차단하고 있다.피해를 예방하기 위해서는 △출처 불분명 파일 실행금지 △인터넷 상 파일 다운로드 시 정식 다운로드 경로 이용 △오피스 SW, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램 최신 보안 패치 적용 △백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다.안랩 분석팀 최수진 선임연구원은 “현재 가짜 캡챠 이미지를 이용하는 수법의 악성 PDF 문서 파일이 문서의 내용만 조금씩 바꾸면서 퍼지고 있는 것으로 보인다”며, “사용자는 출처가 불분명한 파일이라면 호기심이 생기더라도 실행하지 말아야 한다”고 당부했다.[원병철 기자( [email protected] )]
www.boannews.com) 무단전재-재배포금지>
캡챠(CAPTCHA)를 알아보자 (로봇이 아닙니다! 🤖 )
그림 google.com 캡차 설명 화면 캡처 제공
인터넷을 사용하다 보면 자주 볼 수 있는 보안 프로그램이 있습니다.
다음 그림처럼 ‘로봇이 아닙니다’, ‘이미지를 선택해 주세요’ 등의 프로그램을 자주 볼 수 있는데요.
[그림1 인터넷에서 자주 보이는 보안 프로그램] – https://statkclee.github.io/deep-learning/r-captcha.html이러한 프로그램은 캡차(CAPTCHA)라고 부릅니다.
캡차로 인해 번거롭고, 퀴즈에 실패하면 짜증이 납니다.(난 사람인데 왜 로봇이라고 하지??)
일반 유저에게는 귀찮기만 한 대상이겠지만, 개발자로서 캡차를 사용하는 의미를 알아보았습니다.
CAPTCHA??
CAPTCHA는 Completely Automated Public Turing test to tell Computers and Humans Apart 의 약어로 ‘컴퓨터와 사람을 구분하기 위한 완전히 자동화된 튜링 테스트’를 의미합니다.
사용자에게 컴퓨터는 구분할 수 없는 텍스트나 이미지 혹은 소리를 재생하여 컴퓨터와 사람을 구분하게 됩니다.
그렇다면 왜! 사람과 컴퓨터를 구분하려고 하는 것일까요?
봇은 사이트에 접속하여 다음과 같을 악의적인 행위를 할 수 있습니다.
사이트의 게시물 혹은 댓글에 스팸성 글을 작성합니다. 검색 엔진 순위를 높이기 위해 링크가 있는 댓글 섹션을 폭격합니다. 사용자의 이메일 주소를 복사합니다. 공연 티켓 등의 물품을 대량 구매합니다.
이러한 봇의 행동은 사용자들에게 불편함을 줄 수 있으며, 사이트의 신뢰도를 떨어트릴 수 있습니다.
이를 위하여 여러 사이트에서 CAPTCHA를 사용하여 반복된 사이트 접속 처단, 회원가입, 사용자 인증, 게시물 게시 등에 사용이 되고 있습니다.
만약 봇들이 계정 생성을 자유롭게 하고, 게시물을 만들 수 있게 된다면 해당 사이트에는 스팸과 광고성 게시물들로 도배를 하고, 사용자들에게 스팸 이메일을 보낼 수 있게 됩니다.
캡차사용하기
캡차 서비스를 제공하는 다양한 서비스가 있습니다. 구글 reCAPTCHA, hcpatcha, geeTest 등이 있는데요. 저는 이중에 구글 reCAPTCHA v2 를 사용해 보도록하겠습니다. reCAPTCHA v2는 여러분에게 가장 익숙하고 편리한 체크박스 버튼을 가진 ‘로봇이 아닙니다’를 제공합니다.
reCAPTCHA 공식 가이드를 따라서 다음의 코드를 실행함으로써 간단하게 사용할 수 있습니다.
< html > < head > < title > reCAPTCHA demo : Explicit render after an onload callback < / title > < script type = "text/javascript" > var onloadCallback = function ( ) { grecaptcha . render ( ‘html_element’ , { ‘sitekey’ : ‘your_site_key’ } ) ; } ; < / script > < / head > < body > < form action = "?" method = "POST" > < div id = "html_element" > < / div > < br > < input type = "submit" value = "Submit" > < / form > < script src = "https://www.google.com/recaptcha/api.js?onload=onloadCallback&render=explicit" async defer > < / script > < / body > < / html >
가이드를 따라 사이트에 실행된 코드를 올려보았는데요, https://my-app-3x1qowiru-jerrynim.vercel.app/
캡차를 풀게되면 콜백을 실행시키는 방식으로 캡차를 사용할 수 있습니다!!
CAPTCHA의 한계
사용자 경험 저하와 이탈
캡차를 사용하여 봇의 행위를 지연시키거나 일부 막을 수 있지만, 사용자에게 불편함을 주게 됩니다.
대표적인 예로 디스코드 사용 시에 캡차만 십여분 동안 풀고 있으면 사용하기 싫어질 만큼 화가 납니다.
[그림2 구글 디스코드 로봇 연관검색어]어려운 난이도의 문제일수록 캡차를 푸는 것은 시간이 오래 걸리고, 스트레스를 유발하고, 그로 인해 사용자들이 캡차 도중에 이탈이 발생할 수 있습니다.
2. 100% 봇을 막을 수 없다.
캡차는 주로 텍스트나 이미지 인식을 사용하여 봇을 구분하게 되는데, 봇은 AI를 이용하여 텍스트와 이미지를 인식하는데 시간이 걸리지 않는다는 뉴스를 쉽게 찾아볼 수 있을 만큼 간단하게 캡차를 풀어냅니다.
또한, 여러 개발자들이 데이터를 크롤링하기 위하여 언캡차를 위한 다양한 방법들을 고안해 내며 캡차를 우회하려고 하고 있습니다!!(앞의 2Cpatcha API를 이용하여도 언캡차를 할 수도 있습니다.)
이를 막기 위해 더 어려운 문제를 준다면 사용자 경험이 떨어지게 되니 캡차를 사용하는 것에 어려움이 있습니다.
그래서 캡차를 사용해야 할까?
한국 사이트에서는 캡차를 사용하는 경우가 외국보다 적습니다. 가입 시에 주민등록번호, 휴대폰 인증, 공인인증서 등의 인증과정을 통하여 확인을 하기 때문에 필요성이 낮다고 생각합니다. 그래서 로그인 시도를 여러 번 하였을 때, 휴대폰 인증을 받으려 할 때처럼 인증 없이 여러 악의적인 행동이 가능할 때 캡차를 사용하여 봇을 방지하는 사례를 많이 볼 수 있습니다.
이메일과 비밀번호로만으로 간단하게 가입이 되는 서비스의 경우 봇이 활동하기에 편리하기에, 캡차를 활용하여 봇의 활동을 지연시키거나, 일부 방지할 필요가 있다고 생각합니다. 임의의 이메일을 만드는 것은 너무나 쉽기 때문에 수많은 봇 계정이 생성될 수 있으니까요.
마치며
내가 봇에 의한 공격을 신경 쓰며 개발을 한 적이 있는가? 에 대답은 NO입니다. 서비스를 만들면서 보안에 대한 이슈도 생각해보아야 하는데 캡챠를 알아보며 조금은 생각해볼 수 있었네요. 벨로그에도 종종 광고성 댓글들이 달리던데 해결되면 좋겠네요 ㅎㅎ.
출처
Why do we need CAPTCHAs?
CAPTCHA inperva
CAPTCHA wikipedia
captcha와 사람…
키워드에 대한 정보 캡챠 인증
다음은 Bing에서 캡챠 인증 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 reCaptcha, hCaptcha 우회하기
- KeepSOBP
- SOBP
- 비누
- 비누데스
- hcaptcha
- 캡챠
- captcha
- recaptcha
- 리캡챠
- 캡차
- 리캡차
- h캡차
- h캡챠
- 우회
- 뚫기
reCaptcha, #hCaptcha #우회하기
YouTube에서 캡챠 인증 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 reCaptcha, hCaptcha 우회하기 | 캡챠 인증, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.