Как работают чекеры?

[gruntik]

Все доброго времени суток!
Извиняюсь за может быть глупый вопрос.

Вижу на форуме множество тем по чекерам и задался вопросом а как именно они работают?
Разве попытка зайти в акк (например чейса) чекером с паролем и кукисами не залочит доступ?

Буду признателен если кто-нибудь пояснит

 

[RandomName]

Немного пафоса но чекер чекеру рознь.
Если это чек аккаунта, то надо знать условия сайта, сколько попыток, как именно ты можешь попровать авторизацию.
Пример с потолка, некая соц.сеть блочит профиль при трех неверных попытках авторизации, а еще блочит за кривой адрес с бесплатного прокси.

Все уникально, каждый чекер в момент написания проходит тесты от разработчика и подгоняется под реалии.
Ну или скачай себе BAS и пиши сам чекеры, в эмуляторе браузера, который создает видимость пользователя через наборы текста, движения мыши и прочего (каптчи тоже обходит), разрабатывай свои чекеры, путем тестов убивая некоторое количество материалов.

 

[HostBost]

/threads/94521/

 

[sesh]

Буду говорить в контексте чека аккаунтов на валид. Всё зависит от сервиса в который ты долбишься, его антибот системы и того как ты пытаешься её обойти. Но даже если ты не палишься на этапе чека, заходя внутрь акка его могут залочить или потребовать доп. верификацию в связи с изменением к примеру айпи адреса, с которого произведён вход. Много плавающих факторов, условный гугл при входе с нового устройства посылает уведомление. А работают чекеры по сути просто: симулируется общение клиент-сервера на этапе авторизации и этот процесс повторяется множество раз. Можно это делать через веб-эмуляцию аля Selenium и ему подобных, а можно работать напрямую с http запросами, на основе которых собственно работает весь интернет, и это намного эффективней по скорости, т.к тебе не приходится слать лишние запросы для прогрузки страницы, получения каких то ненужных данных и т.д, ещё не приходится поднимать целый браузер. То есть простым языком ты шлёшь те запросы который браузер и сам шлёт когда ты жмёшь кнопку "Login", только он делает это под капотом. Но это более сложный вариант, так как приходится писать больше кода, даже если нет никакой антибот защиты. А если говорить об антибот системах: любые паттерны поведения твоих ботов могут детектиться. А вообще иногда большие компании прибегают к "глубоким" методам защиты, условный TLS fingerprinting ты не обойдешь так просто, тебе надо будет разбираться во внутреннем устройстве работы https запросов и подменять фингерпринт, в который входит инфа о твоём железе, браузере и многое другое. И тут уже неважно веб-эмуляцию ты юзаешь или запросы, эти паттерны на более низком уровне. Но кстати с запросами ещё бывает проблема отсутствия браузерной среды - это тоже может детектиться.
Также бывает что приходится работать с обфусцированным кодом на странице, что сильно усложняет процесс ревёрса кода посылающего запрос, то есть очень редко бывает что сайт шлёт тупо {"login": "login", "password": "password"}. Поэтому когда дело доходит до усовершенствованных систем, например когда информация посылаемая в теле запроса перед отправкой шифруется, то нужно разбираться в JavaScript коде страницы и смотреть как именно шифруется, какими алгоритмами и т.д. По моему опыту сейчас средним уровнем защиты можно считать когда браузер при помощи алгоритмов создаёт нечитабельную data на основе движений твоей мыши, используемого браузера, времени когда ты шлёшь запрос и т.д и только эту data по сути и анализируют.

Резюмируя:

чекер чекеру рознь.

 

[gruntik]

Если это чек аккаунта, то надо знать условия сайта, сколько попыток, как именно ты можешь попровать авторизацию.

Спасибо большое за ответ. Я так понимаю, что чекер должен быть чуть не для каждого сайта, чтобы включить все детали обхода.

Но даже если ты не палишься на этапе чека, заходя внутрь акка его могут залочить или потребовать доп. верификацию в связи с изменением к примеру айпи адреса, с которого произведён вход.

Очень интересно спасибо что расписал. Вот тут не понял немного, если чекер взял мои кукисы и пароль зачекал доступ используя разные прокси и выдает мне, что доступ валид. Я с радостью такой беру этот лог и логинюсь уже сам, надо ли мне теже самые прокси использовать что и чекер так как если прокси разные может не прокатить?

По моему опыту сейчас средним уровнем защиты можно считать когда браузер при помощи алгоритмов создаёт нечитабельную data на основе движений твоей мыши, используемого браузера, времени когда ты шлёшь запрос и т.д и только эту data по сути и анализируют.

я так понимаю только разработчики в курсе что в таком запросе нормальная дата, а где вся другая инфа?
и если не секрет какой самый высший уровень защиты встречался?

 

[RandomName]

Спасибо большое за ответ. Я так понимаю, что чекер должен быть чуть не для каждого сайта, чтобы включить все детали обхода.

Ты прав, чекер это автоматизация.
Ты можешь нанять новичка-школьника, чтобы он вручную чекал (под каждый ресурс свой тип действий) либо автоматизировать это, чтобы код имитировал "жизнь" и проверял твои аккаунты.
BAS я упомянул не с проста, ведь он отлично имитирует живого пользователя, вплоть до движений курсора мыши. (не реклама)
Задача чекера примитивна, он должен "знать" как происходит авторизация, он должен выглядеть как живой человек.


Для каждого сайта он уникален. Вот тебе пример логики программы:
Скрипт посещает ресурс youtube
Скрипт пытается в авторизацию

Тут изначально он создан чтобы войти на конкретный ресурс и он запрограммирован под конкретные взаимодействия с уникальным сайтом.
Если ему дать профили от одноклассников, он войдет на youtube и будет туда пробовать профили одноклассников, ведь он знает только этот сайт)

 

[sesh]

Очень интересно спасибо что расписал. Вот тут не понял немного, если чекер взял мои кукисы и пароль зачекал доступ используя разные прокси и выдает мне, что доступ валид. Я с радостью такой беру этот лог и логинюсь уже сам, надо ли мне теже самые прокси использовать что и чекер так как если прокси разные может не прокатить?

Да неважно уже ты берешь эти же прокси и куки из чека или нет. Потому что до этого юзер которому принадлежит этот аккаунт итак входил с другого айпи и с другого устройства (фингерпринт). Не замечал, что если зайти в гугл аккаунт через другое устройство он тебе не только новый адрес входа покажет, но и покажет какое устройство? Тут скорее зависит от самого сервиса, от того как они это реализовали.

я так понимаю только разработчики в курсе что в таком запросе нормальная дата, а где вся другая инфа?
и если не секрет какой самый высший уровень защиты встречался?

Да, они в курсе потому что сами и разработали эти алгоритмы. У каждого сервиса как правило свои.
По моему опыту самое сложное для обхода это Akamai и TLS фингерпринтинг.

 

[oldtimer]

Любой чекер - это всего лишь автоматизация действий пользователя.
А дальше всё зависит от конкретного линка и целей чека.