本文深入分析了 Vercel 新推出的 BotID 反机器人系统,特别是其免费的 Basic 模式。作者发现,Basic 模式目前的检测机制过于简单,很容易通过修改浏览器属性等方式绕过。虽然 BotID 收集了包括浏览器指纹、GPU 信息等多种信号,但这些信号的处理方式过于基础,无法有效识别复杂的机器人。作者推测 Vercel 正在利用 Basic 模式收集数据,为未来更强大的反机器人模型训练做准备。付费的 Deep Analysis 模式则使用了 Kasada 的反机器人脚本,其复杂程度远高于 Basic 模式。
阅读更多
本文深入探讨了 FIDO2 密码密钥的安全性。作者通过逆向工程分析了商用硬件密钥和平台验证器,构建了一个无需内核驱动程序的软件验证器,模拟 FIDO2 设备,伪造并重放密码密钥签名以实现无头登录。文章详细介绍了攻击过程,包括捕获真实世界流量、解码 HID 握手、验证证明数据、构建软件 CTAP2 引擎以及利用 Chrome 内置的虚拟验证器。最终,作者成功实现了无需真实安全密钥即可登录的目标,并提出了相应的安全强化措施,例如强制执行签名计数器、限制 CDP 权限等,以增强密码密钥的安全性。
阅读更多
本文作者详细介绍了如何利用机器学习破解 4Chan 验证码的过程。首先,作者尝试从 4Chan 获取验证码及其答案,但由于网站限制和人工解答服务准确率低,效果不佳。随后,作者转向生成合成数据,通过提取验证码背景和字符集,并根据观察到的字符排列规律,生成了大量带有答案的合成验证码。利用这些数据,作者训练了一个基于 LSTM CNN 架构的模型,并在 TensorFlow.js 中实现,最终实现了超过 90% 的破解成功率。文章还记录了作者在模型训练和部署过程中遇到的问题及解决方法,例如文档理解错误、版本兼容性问题等。
阅读更多