@Fox Видимо с анализом вопросов и выдачей соответствующих ответов.
У человека еще много интересного впереди
Kasada анти-бот анти-фрод
-
В зависимости от методов защиты и байпасы разные. Если чекает запросы, то байпас це кастом курлык. Если js просит исполнить, тут уже вопросы код по итогу 1 и тот же, но постоянно по разному пошифрован или нет, также важно понять чё он чекает от браузера. В целом, должно прокатить хэндлес хром + фингер подсунуть с патчем дефолт функций, как это у баса 23.2.2. В статье на хабре Клауд обходили примерно также. Думаю, если снять 1 фингер с ифона, то можно больше и не париться.
-
@Q_Q На самом деле кому надо те давно все отреверсили Tcc... Когда защита сводится к генерации сложных токенов/отпечатков это хрень, а не защита. А вот когда к ней добавляется тонна не менее сложной аналитики тогда все становится намного печальней.
-
@UserTrue said in Kasada анти-бот анти-фрод:
@Q_Q На самом деле кому надо те давно все отреверсили Tcc... Когда защита сводится к генерации сложных токенов/отпечатков это хрень, а не защита. А вот когда к ней добавляется тонна не менее сложной аналитики тогда все становится намного печальней.
Самая лучшая защита, которую видел, это виртуальная машина, написанная на Javascript и в ней исполняется заранее заготовленный байт-код. Байт код генерируется на стороне сервиса из кода на Javascript.
Байт код виртуальной машины изменяется раз в неделю. Чтобы отревесить ее байт-код, у нескольких человек с учеными степени ушел месяц.
P.S.
Можно погадать по описанию, чье это добро. -
@sergerdn said in Kasada анти-бот анти-фрод:
Самая лучшая защита, которую видел, это виртуальная машина, написанная на Javascript и в ней исполняется заранее заготовленный байт-код. Байт код генерируется на стороне сервиса из кода на Javascript.
Не очень тебя понял, я видел защиты где приходит куча бинарных данных, но все равно есть функция которая их дешифрует и это можно отреверсить, если речь про что-то типо WASM то это можно исполнить в nodejs при желании, ну либо создать один экземпляр браузера и исполнять его там с подсовыванием нужных входных данных.
На самом деле обычно не нужно эмулировать весь код, нужно найти конечный массив данных на основе которого получается нужный токен и найти алгортим его преобразований в этот самый токен. Если преобразования производятся где-то в этом байткоде то ему нужно просто скормить нужные данные. Его нафиг не нужно реверсить
-
@UserTrue said in Kasada анти-бот анти-фрод:
Не очень тебя понял
Попробую перефразировать.
- Виртуальная машина - это Javascript код, который исполняется в браузере, не бинарные данные.
- На вход виртуальная машина принимает байт-код, который частично заранее скомпилирован из Javascript кода(там некая логика) самим сервисом у себя на сервере. Частично компилируется на лету, но не в браузере, а на сервере на основании данных из браузера(отпечаток)
- Opcodes виртуальной машины меняется раз в неделю. Говоря человеческий языком раз в неделю меняется язык виртуальной машины.
-
@sergerdn said in Kasada анти-бот анти-фрод:
На вход виртуальная машина принимает байт-код, который частично заранее скомпилирован из Javascript кода(там некая логика) самим сервисом у себя на сервере. Частично компилируется на лету, но не в браузере, а на сервере на основании данных из браузера(отпечаток)
Такое делал xD
-
@UserTrue said in Kasada анти-бот анти-фрод:
Такое делал xD
Ну тогда можешь отреверсить код, который находится на странице регистрации Google и клепать аккаунты пачками на запросах и стать миллионером.
И плюнуть в спину трем доцентам, у которых ушел месяц на это.
-
@sergerdn said in Kasada анти-бот анти-фрод:
Ну тогда можешь отреверсить код, который находится на странице регистрации Google и клепать аккаунты пачками на запросах и стать миллионером.
Я делал как-то авторизацию. Но уже не работает. Я выше написал, что главная проблема тонна аналитики которую шлют такие сайты. Начиная от поведения пользователя, кончая тем какие картинки, скрипты и загрузила страница за какой время, какие элементы на ней отрисованы и тп, это все реверсить и эмулировать ебнешься, а без этого через сутки скорей всего аккаунты уйдут в бан. Последний пример я сделал регер амазона на запросах, аккаунты как раз сутки и живут...Плюнул и вернул браузер, а после реги все нужные действия в акке отсавил на запросах
И плюнуть в спину трем доцентам, у которых ушел месяц на это.
Они думают как ученые, а нужно думать как взломщик и искать как схитрить
-
@UserTrue said in Kasada анти-бот анти-фрод:
Они думают как ученые, а нужно думать как взломщик и искать как схитрить
Ну так не вопрос, выше я написал рецепт, как стать миллионером.
Берешь и делаешь; и куча бабла сразу посыпется. Правда сыпаться будет недолго, но это уже другая история.В моей практике, когда я много лет назад совершено случайно нашел дырку в Google, чтобы можно было делать аккаунты на запросах, они ее закрыли через неделю, так как я был балбес и стал клепать аккаунты по 100К штук в день.
Причем мне эти аккаунты в таком кол-ве были не нужны. -
@sergerdn said in Kasada анти-бот анти-фрод:
Берешь и делаешь; и куча бабла сразу посыпется. Правда сыпаться будет недолго, но это уже другая история.
Я же уже 2 раза написал в чем главная проблема. Какой-то отдельный токен, или токены отрверсить можно, а вот кучу аналитики генерировать это уже перебор как по мне
-
@UserTrue said in Kasada анти-бот анти-фрод:
Я же уже 2 раза написал в чем главная проблема. Какой-то отдельный токен, или токены отрверсить можно, а вот кучу аналитики генерировать это уже перебор как по мне
Проблема даже не в этом и не сколько в этом, а в том, что пока кто-то отреверсит что-то, код виртуальной машины уже будет изменен к моменту когда уже все будет готово у взломщика.
И результат работы будет полезен только для публикации в научных журналах. Так как результат работы уже устарел.Именно поэтому я считаю этой лучшей защитой, которую я когда либо видел.
-
@UserTrue https://k.twitchcdn.net/149e9513-01fa-4fb0-aad4-566afd725d1b/2d206a39-8ed7-437e-a3be-862e0f06eea3/p.js
и постоянно меняется, когда как, раз в неделю
Там же вполне может быть байпасс браузеров, например, ты много браузеров открываешь, задержки становятся выше нормального, и это как я понимаю вполне может быть в токене, который перехешиован.
Там кода максимум на 1000 строк. -
@nazar21015 said in Kasada анти-бот анти-фрод:
@UserTrue https://k.twitchcdn.net/149e9513-01fa-4fb0-aad4-566afd725d1b/2d206a39-8ed7-437e-a3be-862e0f06eea3/p.js
и постоянно меняется, когда как, раз в неделю
Там же вполне может быть байпасс браузеров, например, ты много браузеров открываешь, задержки становятся выше нормального, и это как я понимаю вполне может быть в токене, который перехешиован.
Там кода максимум на 1000 строк.Да я знаю эту защиту, я же сам с твичом работаю
-
@UserTrue )
Если ты про аналитику тепловых карт (движения мышки), то да, понимаю о чем ты. Но защиты в большинстве случаев комплексные и методов много, поэтому хорошими проксями, мылом, удается зачастую это компенсировать.
Мне больше всего неприятен был pow, брутит свой токен, систему мне грузит(Но да, когда приходится собирать гига фингер самому, эт тоже неприятно.
-
@sergerdn нинаю, по описанию похоже на васм. Дев тулз в позволяет все дебагать, а если поставить логические бреки и логпоинты, все становится ещё приятнее. Тыкал уже васм, можно как с 0 переписать на js, а можно выпилить проверки. А конверторы васм в C позволяют почекать код в ещё более понятном виде.
-
@sergerdn ну вот я тт в августе потыкал, там длиннющие строки, це называют "виртуал очка", по факту, там закодирован набор дефолт жс функций и порядок их юза. Для декода я юзал пару китайских лайфхаков с логпоинтами
Вот пример такой штуки
https://www.nullpt.rs/devirtualizing-nike-vm-1 -
@Q_Q said in Kasada анти-бот анти-фрод:
@UserTrue я бесплатно опубликую, уже 2 месяца лежит. Все что знаю по тиктоку.
Смысл? Ну как знаешь конечно. На мой взгляд разумней самому зарабатывать чем сливать в массы, в результате гайки затянут еще больше. Мне за касандру хорошие деньги предлагали, и не раз, я отказал.
Если конечно это будет статья по реверсу аналогичная блогу что ты скинул это норм, а готовые решения по обходу выкладывать думаю не стоит.
