<b>CAPTCHA ломается не там, где её «проходят», а там, где её неправильно встраивают</b>
Если смотреть на CAPTCHA как на барьер, ошибка почти всегда одна: проверку ставят только на финальный POST. Тогда бот может спокойно собирать форму, крутить сессии и бить запросами в обход интерфейса.
Что проверять в первую очередь:
— токен должен жить недолго и быть одноразовым;
— валидация должна быть привязана к сессии, а не только к IP;
— сервер обязан сверять не только факт прохождения, но и контекст: путь, метод, время, user-agent, стабильность cookie.
Для атакующей стороны слабое место обычно не в самой картинке, а в разрыве между фронтом и бэком. Если токен можно переиспользовать, подставить в другой маршрут или отправить после смены fingerprint, защита превращается в декорацию. Если же токен не связывается с поведенческими сигналами, его легко увести в ручной или полуавтоматический поток.
Для защиты лучше работает не «одна CAPTCHA на всё», а каскад: сначала мягкая проверка, потом challenge только на рискованных действиях, потом отдельный контроль на регистрацию, логин, восстановление и платежи. Чем выше ценность шага, тем строже должны быть условия повторной проверки.
<b>Проверяйте не капчу как виджет, а цепочку вокруг неё: выдачу токена, перенос сессии и повторное использование.</b>
Anti-Bot Arena — Cloudflare, CAPTCHA, fingerprint
@anti_bot_arena
<b>CAPTCHA ломается не там, где её «проходят», а там, где её неправильно встраивают</b>
Этот пост опубликован в Telegram-канале Anti-Bot Arena — Cloudflare, CAPTCHA, fingerprint. Подписаться можно по ссылке: @anti_bot_arena.