Extensão para navegadores

Para empresas

Preços

Blog

Documentos

Português

ALTCHA
e CapMonster Cloud

Solução de captcha, instalação no site e testes.

Você herdou um site com captcha ou outra camada de proteção, mas não tem acesso ao código-fonte? Então é normal querer saber qual solução está instalada, se a configuração está correta e como testar tudo.

Neste artigo, procuramos responder a todas as principais dúvidas. Para começar a resolver o problema, o primeiro passo é identificar qual sistema de proteção está sendo utilizado. Para isso, você pode consultar a lista de captchas e sistemas de proteção antibot mais populares, onde há exemplos visuais e sinais principais que ajudam a identificar rapidamente com o que você está lidando.

Se você notar que o seu site utiliza ALTCHA, o passo seguinte é estudar com mais detalhes as suas características e o seu funcionamento. Neste mesmo artigo, você também pode conferir o guia de integração do ALTCHA, para entender por completo como o sistema opera no seu site. Isso permitirá não apenas compreender a proteção atual, mas também planejar adequadamente a sua manutenção.

O que é o ALTCHA

ALTCHA (Alternative CAPTCHA) é um sistema de proteção de sites contra bots e spam. Ele ajuda a diferenciar usuários reais de programas automatizados, garantindo que o site funcione de forma segura e estável. ALTCHA é uma alternativa moderna às CAPTCHAs tradicionais: utiliza um desafio criptográfico leve (proof-of-work) e não coleta cookies nem rastreia usuários.

Exemplos de ALTCHA

Proof-of-Work (PoW)

O sistema utiliza por padrão o método de verificação Proof-of-Work (PoW), eliminando puzzles visuais e verificações intrusivas. Essa abordagem combina segurança com conveniência para os usuários, oferecendo uma solução captcha discreta adequada para a maioria dos visitantes.

Code Captcha

A proteção pode ser reforçada até a passagem de um captcha textual.

Invisible Captcha

A verificação ocorre sem widget visível e não requer ação do usuário.

Como resolver ALTCHA através do CapMonster Cloud

Ao testar formulários com ALTCHA, é comum precisar confirmar se a captcha está funcionando e integrada corretamente.

Você pode testar manualmente a captcha incorporada no site.

Abra a página do formulário e veja se a captcha é exibida.
Tente enviar sem resolver — o servidor deve retornar erro.
Depois de resolver corretamente, o envio precisa ocorrer sem falhas.

Para resolver automaticamente use ferramentas como o CapMonster Cloud, que recebe os parâmetros da captcha, processa em seus servidores e devolve um token pronto. Basta inseri-lo no formulário para passar na verificação sem interação humana.

Trabalhar com o CapMonster Cloud via API normalmente envolve as etapas abaixo:

Criação da tarefa

Nesta etapa, envie sua API key, tipo de captcha e parâmetros. O serviço retorna um taskId único, que permite posteriormente obter o resultado.

Envio da requisição API

A requisição para resolver ALTCHA deve conter os seguintes parâmetros:

type - CustomTask

class - altcha

websiteURL - endereço da página onde o captcha será resolvido

websiteKey - para esta tarefa é permitido enviar uma string vazia.

challenge (dentro de metadata) - identificador único da tarefa obtido da página web.

iterations (dentro de metadata) - número de iterações ou número máximo para cálculos. Importante: o parâmetro iterations corresponde ao valor de maxnumber!

salt (dentro de metadata) - salt obtido do site, usado para gerar hashes.

signature (dentro de metadata) - assinatura digital da requisição.

userAgent - User-Agent do navegador. Envie apenas UA atual do Windows.

Saiba mais sobre os parâmetros e como capturá-los automaticamente antes de enviar a tarefa na documentação do CapMonster Cloud.

Endpoint para envio da tarefa:

https://api.capmonster.cloud/createTask

Exemplo de requisição:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "CustomTask",
    "class": "altcha",
    "websiteURL": "https://example.com",
    "websiteKey": "",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
    "metadata": {
      "challenge": "3dd28253be6cc0c54d95f7f98c517e68744597cc6e66109619d1ac975c39181c",
      "iterations": "5000",
      "salt":"46d5b1c8871e5152d902ee3f?edk=1493462145de1ce33a52fb569b27a364&codeChallenge=464Cjs7PbiJJhJZ_ReJ-y9UGGDndcpsnP6vS8x1nEJyTkhjQkJyL2jcnYEuMKcrG&expires=1761048664",
      "signature": "4b1cf0e0be0f4e5247e50b0f9a449830f1fbca44c32ff94bc080146815f31a18"
    }
  }
}

Resposta:

{
  "errorId":0,
  "taskId":407533072
}

Recebimento do resultado

Após criar a tarefa, consulte periodicamente o status da solução.

Endereço para receber o resultado:

https://api.capmonster.cloud/getTaskResult

Exemplo de requisição:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Resposta:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "data": {
      "token": "eyJhbGdvcml0aG0iOiJTSEEtMjU2IiwiY2hhbGxlbmdlIjoiNjMxOGUzYzc2NjhlOTZiMmFlYjg2NGU2NmRmMTliODRkYmYwZDBhMWRjNjYwMDdiMGM5ZGI4ODZiNTUxNjQxNiIsIm51bWJlciI6MTY0NDcsInNhbHQiOiJiMTQ1YWE5ZmU5MjA3NjBiMDgxYTAwNTMiLCJzaWduYXR1cmUiOiI5NzM4MmJlODE2NDUwNzk5MzlhYmU2M2ZkYzZjN2E3ZGYwOTM5MzNjODljZTk0ZjgzNTgxYmUyNDU3ZmI4MDM0IiwidG9vayI6MTczLjl9",
      "number": "16447"
    }
  }
}

Aplicação do token na página

A resposta do CapMonster Cloud pode conter dois formatos:

Token completo — conjunto de parâmetros codificado em base64 (incluindo number).
Apenas number — se o servidor espera apenas o identificador da solução.

Para automatizar a inserção de tokens/números e o envio do formulário, é prático usar Puppeteer, Playwright ou Selenium. Eles permitem simular o comportamento do usuário, inserir campos ocultos e disparar o envio do formulário. Nos testes, lembre-se de cobrir ambos os cenários: envio do token completo e envio apenas do número, além dos erros (token expirado, número incorreto, reutilização).

Resolução, inserção do token e envio de formulário

Exemplo em Node.js para o ciclo completo de reconhecimento de captcha na sua página web. Abordagens possíveis: usar requisições HTTP para obter HTML e parâmetros do captcha, enviar a resposta e processar o resultado; ou usando ferramentas de automação (ex: Playwright) — abrir a página, aguardar o captcha, enviar parâmetros (para testes pode enviar dados corretos ou incorretos), obter resultado via cliente CapMonster Cloud, inserir o token no formulário e verificar o resultado.

// npm install playwright
// npx playwright install chromium

const { chromium } = require("playwright");

const API_KEY = "YOUR_API_KEY";
const ALTCHA_PAGE = "https://example.com"; // Seu site com ALTCHA

(async () => {
  const browser = await chromium.launch({ headless: false, devtools: true });
  const context = await browser.newContext();
  const page = await context.newPage();

  // Capturando todas as respostas do endpoint Altcha
  let challengeResp = null;
  page.on("response", async (response) => {
    try {
      const url = response.url();
      if (url.startsWith("https://captcha.example.com/altcha")) { // Endpoint Altcha
        challengeResp = await response.json();
        console.log("Captured Altcha response:", challengeResp);
      }
    } catch (err) {
      console.warn("Error parsing Altcha response:", err);
    }
  });

  await page.goto(ALTCHA_PAGE, { waitUntil: "networkidle" });

  // Clique no widget, se existir
  const widgetHandle = await page.$("altcha-widget");
  if (widgetHandle) {
    try {
      await widgetHandle.click();
    } catch {}
  }

  // Aguardando o aparecimento do challenge
  const start = Date.now();
  while (!challengeResp && Date.now() - start < 60000) { // Timeout aumentado
    await new Promise((r) => setTimeout(r, 300));
  }

  if (!challengeResp) {
    console.error("Failed to capture Altcha challenge.");
    await browser.close();
    return;
  }

  const { challenge, salt, signature, maxnumbers } = challengeResp;

  // Criar tarefa no CapMonster Cloud
  const createTaskBody = {
    clientKey: API_KEY,
    task: {
      type: "CustomTask",
      class: "altcha",
      websiteURL: ALTCHA_PAGE,
      websiteKey: "",
      userAgent:"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
      metadata: {
        challenge,
        iterations: maxnumbers || 100000,
        salt,
        signature,
      },
    },
  };

  const taskResp = await fetch("https://api.capmonster.cloud/createTask", {
    method: "POST",
    headers: { "Content-Type": "application/json" },
    body: JSON.stringify(createTaskBody),
  }).then((r) => r.json());

  console.log("CreateTask response:", taskResp);
  if (!taskResp?.taskId) {
    console.error("CreateTask failed:", taskResp);
    await browser.close();
    return;
  }

  const taskId = taskResp.taskId;

  // Obter solução
  let fullSolution = null;
  const pollStart = Date.now();
  while (Date.now() - pollStart < 120000) {
    const res = await fetch("https://api.capmonster.cloud/getTaskResult", {
      method: "POST",
      headers: { "Content-Type": "application/json" },
      body: JSON.stringify({ clientKey: API_KEY, taskId }),
    }).then((r) => r.json());

    if (res.status === "ready") {
      fullSolution = res.solution;
      console.log("Solution:", fullSolution);
      break;
    }
    await new Promise((r) => setTimeout(r, 3000));
  }

  if (!fullSolution) {
    console.error("No solution received in time.");
    await browser.close();
    return;
  }

  const token = fullSolution?.data?.token || fullSolution?.token || fullSolution?.data;

  if (!token) {
    console.error("Token not found in solution:", fullSolution);
    await browser.close();
    return;
  }

  //Inserir token
  await page.evaluate((t) => {
    let input = document.querySelector("#captchaParaValidar");
    if (!input) {
      input = document.createElement("input");
      input.type = "hidden";
      input.id = "captchaParaValidar";
      input.name = "captchaParaValidar";
      (document.querySelector("form") || document.body).appendChild(input);
    }
    input.value = t;

    let alt = document.querySelector('input[name="altcha"]');
    if (!alt) {
      alt = document.createElement("input");
      alt.type = "hidden";
      alt.name = "altcha";
      (document.querySelector("form") || document.body).appendChild(alt);
    }
    alt.value = t;

    const widget = document.querySelector("altcha-widget");
    if (widget) {
      widget.setAttribute("data-state", "verified");
      const checkbox = widget.querySelector("input[type='checkbox']");
      if (checkbox) {
        checkbox.checked = true;
        checkbox.dispatchEvent(new Event("change", { bubbles: true }));
      }
      const label = widget.querySelector(".altcha-label");
      if (label) label.textContent = "Verified";
    }
  }, token);

  console.log("Token injected:", token);
})();

Também é possível testar o reconhecimento de captcha com a extensão de navegador CapMonster Cloud, permitindo verificar rapidamente o funcionamento do captcha diretamente na página e acompanhar o processo de resolução em tempo real sem escrever código — disponível para Chrome e Firefox.

Como conectar o ALTCHA ao seu site

Para compreender totalmente como o captcha funciona no seu site, a lógica de verificação, reconectar ou reconfigurar, recomendamos ler esta seção. Ela descreve o processo de integração da proteção e ajuda a entender rapidamente todos os detalhes.

1. Instalação do widget

Opção 1 — via CDN (mais simples). Adicione ao <head> do seu HTML:

<script async defer src="https://cdn.jsdelivr.net/gh/altcha-org/altcha/dist/altcha.min.js" type="module"></script>

Opção 2 — via npm:

npm install altcha

Importe o widget no seu arquivo JS:

import "altcha";

2. Adicionar o widget ao formulário.

Insira o componente <altcha-widget> no formulário onde é necessária proteção:


<form method="POST" action="/submit">
  <altcha-widget challengeurl="/altcha/challenge"></altcha-widget>
  <button type="submit">Send</button>
</form>

challengeurl — seu endpoint de servidor para emitir desafios (challenge).

Se usar ALTCHA Sentinel (proteção de servidor pronta contra bots e spam com machine learning e análise de tráfego), use o URL dele em vez do seu servidor:


<altcha-widget 
  challengeurl="https://sentinel.example.com/v1/challenge?apiKey=YOUR_API_KEY">
</altcha-widget>

Instalação e guia completo ALTCHA Sentinel

3. Verificação no servidor.

Como ocorre a verificação:

1) O widget gera um payload — JSON codificado em Base64, normalmente enviado como campo de formulário altcha.
2) No servidor verifica-se o payload criptograficamente (sem requisições adicionais de API).
3) Após verificação bem-sucedida, o formulário pode ser processado.

Verificação via ALTCHA Sentinel:

Usando a biblioteca


import { verifyServerSignature } from 'altcha-lib';

// Chave secreta da API gerada no Sentinel
const apiKeySecret = 'sec_...';

// Payload obtido do widget
const payload = '...';

// Verificação
const { verificationData, verified } = await verifyServerSignature(payload, apiKeySecret);

if (verified) {
  // Verificação bem-sucedida — dados do formulário podem ser processados
}

Dica: guarde os payloads usados para prevenir reutilização (replay attack).

Via HTTP API do Sentinel (se a biblioteca não estiver disponível):


const resp = await fetch('https://sentinel.example.com/v1/verify/signature', {
  method: 'POST',
  headers: { 'Content-Type': 'application/json' },
  body: JSON.stringify({ payload }),
});

const { verified } = await resp.json();

if (verified) {
  // Verificação bem-sucedida — processar formulário
}

A API previne automaticamente a reutilização do mesmo payload.

4. Verificação sem Sentinel (servidor próprio)

Geração do desafio (challenge):


import { createChallenge } from 'altcha-lib';

const hmacKey = '$ecret.key'; // Sua chave secreta HMAC

const challenge = await createChallenge({ hmacKey });

// Devolver challenge em JSON para o widget

Verificação do payload ao enviar o formulário:


import { verifySolution } from 'altcha-lib';

const hmacKey = '$ecret.key'; // Sua chave secreta HMAC

const verified = await verifySolution(payload, hmacKey);

if (verified) {
  // Verificação bem-sucedida — processar dados do formulário
}

Neste caso, você cria o endpoint /altcha/challenge para emitir desafios e verificá-los no servidor.

O código-fonte do ALTCHA está disponível em GitHub para estudo, configuração e integração.

Possíveis erros e depuração

challengeurl ou API Key inválidos

O widget não carrega ou retorna erro na verificação.

Timeout de resolução

O servidor não teve tempo de verificar o payload. Aumente o tempo de espera ou certifique-se que a verificação do lado do servidor funciona corretamente.

Payload vazio

Erro ao enviar o resultado do widget para o servidor.

Verification failed

O payload expirou, foi reutilizado ou adulterado. Para diagnóstico, ative o logging e verifique os campos verified e verificationData na resposta do servidor ou do Sentinel.

Verificação da robustez

Depois da integração, confirme que o sistema de fato protege o site contra ações automatizadas.

Tente fazer uma requisição sem resolver o captcha — o servidor deve retornar success: false.

Realize testes de carga (ex: com k6 ou JMeter) a mais de 100 requisições por segundo — o captcha deve ser exibido corretamente e o sistema de validação permanecer estável.

Verifique a reação do servidor a um token expirado ou reutilizado — a resposta esperada é 403 Forbidden.

Recomendações de segurança e otimização

<b>Mantenha as chaves secretas</b> (HMAC ou API Key para Sentinel) apenas no servidor — não envie para o frontend.

Mantenha as chaves secretas (HMAC ou API Key para Sentinel) apenas no servidor — não envie para o frontend.

<b>Registre erros</b> e eventos de verificação (<b>verified: false</b> e <b>verificationData</b>) para entender os motivos das falhas.

Registre erros e eventos de verificação (verified: false e verificationData) para entender os motivos das falhas.

Para transparência e confiança do usuário, <b>adicione links para a política de privacidade</b> e os <b>termos de uso do ALTCHA</b>, se necessário.

Para transparência e confiança do usuário, adicione links para a política de privacidade e os termos de uso do ALTCHA, se necessário.

Conclusão

Se você herdou um site que já tem um captcha ou outro sistema de proteção instalado e não tem acesso ao código, não tem problema! É bem fácil identificar qual tecnologia está sendo usada. Para verificar se tudo está funcionando corretamente, você pode usar o serviço de reconhecimento CapMonster Cloud em um ambiente de testes isolado, para garantir que o mecanismo de processamento de tokens e a lógica de verificação estejam funcionando corretamente.

No caso de ALTCHA, basta identificar o sistema, analisar o comportamento dele e se certificar de que a proteção está funcionando corretamente. No artigo, mostramos como identificar ALTCHA e onde encontrar instruções para a integração ou reconfiguração, para que você consiga manter a proteção com segurança e controlar o funcionamento dela.

Links úteis

Documentação ALTCHA →

Código-fonte ALTCHA →

Documentação CapMonster Cloud (trabalhando com ALTCHA) →

A extensão do CapMonster Cloud para navegador está disponível para Chrome e Firefox. Veja o passo a passo completo neste link.

ALTCHA e CapMonster Cloud

ALTCHA
e CapMonster Cloud