ALTCHA
и CapMonster Cloud

Решение капчи, установка на сайт и тестирование.

Вам достался «по наследству» сайт с подключённой капчей или другой защитой, но доступа к исходному коду нет? В такой ситуации возникают вопросы: какую именно систему защиты использует сайт, правильно ли она установлена и как проверить её работу?

В этой статье мы постарались дать ответы на все вопросы. А начать решение задачи нужно с определения того, какая система защиты используется. Для этого можно обратиться к списку популярных капч и систем антибот-защиты, где представлены визуальные примеры и ключевые признаки, которые могут помочь быстро определить, с чем вы имеете дело.

Если вы обнаружили, что на вашем сайте используется ALTCHA, следующим шагом станет более подробное изучение её свойств и самой работы. Также в этой статье вы можете изучить инструкцию по подключению системы ALTCHA, чтобы полностью разобраться, как она функционирует на вашем сайте. Это позволит не только понимать текущую защиту, но и грамотно планировать её поддержку.

Что такое ALTCHA

ALTCHA (Alternative CAPTCHA) — это система защиты сайта от ботов и спама. Она помогает отличать реальных пользователей от автоматических программ, чтобы сайт работал безопасно и стабильно. ALTCHA — современная альтернатива обычным CAPTCHA: она использует лёгкое криптографическое задание (proof-of-work) и при этом не собирает cookies и не отслеживает пользователей.

Виды ALTCHA

Proof-of-Work (PoW)

Система по умолчанию использует метод верификации Proof-of-Work (PoW), что исключает визуальные головоломки и навязчивые проверки. Такой подход сочетает безопасность с удобством для пользователей, предлагая ненавязчивое Captcha‑решение, подходящее для большинства посетителей.

Code Captcha

Защита усиливается до прохождения текстовой капчи.

Invisible Captcha

Проверка происходит без видимого виджета; не требует никаких действий от пользователя.

Как решить ALTCHA через CapMonster Cloud

При тестировании форм с ALTCHA часто возникает необходимость проверить работу капчи и убедиться, что она корректно интегрирована.

Вы можете вручную протестировать подставленную на ваш сайт капчу.

Откройте страницу с формой и убедитесь, что капча отображается.
Попробуйте отправить форму без её прохождения — сервер должен выдать ошибку.
После успешного решения капчи — форма должна отправиться без ошибок.

Для автоматического распознавания капчи можно использовать специализированные сервисы, например, CapMonster Cloud — инструмент, который принимает параметры капчи, обрабатывает их на своих серверах и возвращает готовый токен. Этот токен можно подставить в форму, чтобы пройти проверку без участия пользователя.

Работа с CapMonster Cloud через API обычно включает следующие шаги:

Создание задачи (Task)

На этом этапе вы передаёте ваш ключ API, тип капчи и её параметры. Сервис возвращает уникальный taskId, по которому позже можно получить результат.

Отправка запроса к API

В запросе для решения ALTCHA необходимо указать следующие параметры:

type - CustomTask

class - altcha

websiteURL - адрес страницы, на которой решается капча

websiteKey - для этой задачи допустимо отправлять пустую строку.

challenge (внутри metadata) - уникальный идентификатор задачи, полученный с веб-страницы.

iterations (внутри metadata) - количество итераций или максимальное число для вычислений. Важно: параметр iterations соответствует значению maxnumber!

salt (внутри metadata) - полученный с сайта salt, используемый для генерации хэшей.

signature (внутри metadata) - цифровая подпись запроса.

userAgent - User-Agent браузера. Передавайте только актуальный UA от ОС Windows.

Более подробную информацию о параметрах и о том, как их получать автоматически перед отправкой на решение, можно найти в документации сервиса CapMonster Cloud.

Адрес для отправки задачи:

https://api.capmonster.cloud/createTask

Пример запроса:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "CustomTask",
    "class": "altcha",
    "websiteURL": "https://example.com",
    "websiteKey": "",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
    "metadata": {
      "challenge": "3dd28253be6cc0c54d95f7f98c517e68744597cc6e66109619d1ac975c39181c",
      "iterations": "5000",
      "salt":"46d5b1c8871e5152d902ee3f?edk=1493462145de1ce33a52fb569b27a364&codeChallenge=464Cjs7PbiJJhJZ_ReJ-y9UGGDndcpsnP6vS8x1nEJyTkhjQkJyL2jcnYEuMKcrG&expires=1761048664",
      "signature": "4b1cf0e0be0f4e5247e50b0f9a449830f1fbca44c32ff94bc080146815f31a18"
    }
  }
}

Ответ:

{
  "errorId":0,
  "taskId":407533072
}

Получение результата

После создания задачи вы проверяете статус решения.

Адрес для получения результата:

https://api.capmonster.cloud/getTaskResult

Пример запроса:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Ответ:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "data": {
      "token": "eyJhbGdvcml0aG0iOiJTSEEtMjU2IiwiY2hhbGxlbmdlIjoiNjMxOGUzYzc2NjhlOTZiMmFlYjg2NGU2NmRmMTliODRkYmYwZDBhMWRjNjYwMDdiMGM5ZGI4ODZiNTUxNjQxNiIsIm51bWJlciI6MTY0NDcsInNhbHQiOiJiMTQ1YWE5ZmU5MjA3NjBiMDgxYTAwNTMiLCJzaWduYXR1cmUiOiI5NzM4MmJlODE2NDUwNzk5MzlhYmU2M2ZkYzZjN2E3ZGYwOTM5MzNjODljZTk0ZjgzNTgxYmUyNDU3ZmI4MDM0IiwidG9vayI6MTczLjl9",
      "number": "16447"
    }
  }
}

Подстановка токена на страницу

Ответ CapMonster Cloud может содержать два формата:

Полный токен — base64‑кодированный набор параметров (включая number).
Только number — если сервер ожидает лишь идентификатор решения.

Для автоматизации подстановки токенов/чисел и отправки формы удобно использовать Puppeteer, Playwright или Selenium — они позволяют эмулировать поведение пользователя, вставлять скрытые поля и инициировать отправку формы. При тестировании не забудьте покрыть оба сценария: отправку полного токена и отправку только number, а также ошибки (устаревший токен, неверный номер, повторное использование).

Решение, подстановка токена и отправка формы

Пример на Node.js для полного цикла распознавания капчи на вашей веб-странице. Возможные подходы: использовать HTTP-запросы для получения HTML и параметров капчи, отправить ответ и обработать результат; или с помощью инструментов для автоматизации (например, Playwright) — открыть страницу, дождаться капчи, отправить параметры (для тестирования вы можете отправить как правильные, так и некорректные данные), получить результат через клиент CapMonster Cloud, подставить токен в форму и увидеть результат.

// npm install playwright
// npx playwright install chromium

const { chromium } = require("playwright");

const API_KEY = "YOUR_API_KEY";
const ALTCHA_PAGE = "https://example.com"; // Ваш сайт с ALTCHA

(async () => {
  const browser = await chromium.launch({ headless: false, devtools: true });
  const context = await browser.newContext();
  const page = await context.newPage();

  // Ловим все ответы от эндпоинта Altcha
  let challengeResp = null;
  page.on("response", async (response) => {
    try {
      const url = response.url();
      if (url.startsWith("https://captcha.example.com/altcha")) { // Эндпоинт Altcha
        challengeResp = await response.json();
        console.log("Captured Altcha response:", challengeResp);
      }
    } catch (err) {
      console.warn("Error parsing Altcha response:", err);
    }
  });

  await page.goto(ALTCHA_PAGE, { waitUntil: "networkidle" });

  // Клик по виджету, если он есть
  const widgetHandle = await page.$("altcha-widget");
  if (widgetHandle) {
    try {
      await widgetHandle.click();
    } catch {}
  }

  // Ждем появления challenge
  const start = Date.now();
  while (!challengeResp && Date.now() - start < 60000) { // увеличен таймаут
    await new Promise((r) => setTimeout(r, 300));
  }

  if (!challengeResp) {
    console.error("Failed to capture Altcha challenge.");
    await browser.close();
    return;
  }

  const { challenge, salt, signature, maxnumbers } = challengeResp;

  // Создаем задачу на CapMonster Cloud
  const createTaskBody = {
    clientKey: API_KEY,
    task: {
      type: "CustomTask",
      class: "altcha",
      websiteURL: ALTCHA_PAGE,
      websiteKey: "",
      userAgent:"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
      metadata: {
        challenge,
        iterations: maxnumbers || 100000,
        salt,
        signature,
      },
    },
  };

  const taskResp = await fetch("https://api.capmonster.cloud/createTask", {
    method: "POST",
    headers: { "Content-Type": "application/json" },
    body: JSON.stringify(createTaskBody),
  }).then((r) => r.json());

  console.log("CreateTask response:", taskResp);
  if (!taskResp?.taskId) {
    console.error("CreateTask failed:", taskResp);
    await browser.close();
    return;
  }

  const taskId = taskResp.taskId;

  // Получаем решение
  let fullSolution = null;
  const pollStart = Date.now();
  while (Date.now() - pollStart < 120000) {
    const res = await fetch("https://api.capmonster.cloud/getTaskResult", {
      method: "POST",
      headers: { "Content-Type": "application/json" },
      body: JSON.stringify({ clientKey: API_KEY, taskId }),
    }).then((r) => r.json());

    if (res.status === "ready") {
      fullSolution = res.solution;
      console.log("Solution:", fullSolution);
      break;
    }
    await new Promise((r) => setTimeout(r, 3000));
  }

  if (!fullSolution) {
    console.error("No solution received in time.");
    await browser.close();
    return;
  }

  const token = fullSolution?.data?.token || fullSolution?.token || fullSolution?.data;

  if (!token) {
    console.error("Token not found in solution:", fullSolution);
    await browser.close();
    return;
  }

  //Вставляем токен
  await page.evaluate((t) => {
    let input = document.querySelector("#captchaParaValidar");
    if (!input) {
      input = document.createElement("input");
      input.type = "hidden";
      input.id = "captchaParaValidar";
      input.name = "captchaParaValidar";
      (document.querySelector("form") || document.body).appendChild(input);
    }
    input.value = t;

    let alt = document.querySelector('input[name="altcha"]');
    if (!alt) {
      alt = document.createElement("input");
      alt.type = "hidden";
      alt.name = "altcha";
      (document.querySelector("form") || document.body).appendChild(alt);
    }
    alt.value = t;

    const widget = document.querySelector("altcha-widget");
    if (widget) {
      widget.setAttribute("data-state", "verified");
      const checkbox = widget.querySelector("input[type='checkbox']");
      if (checkbox) {
        checkbox.checked = true;
        checkbox.dispatchEvent(new Event("change", { bubbles: true }));
      }
      const label = widget.querySelector(".altcha-label");
      if (label) label.textContent = "Verified";
    }
  }, token);

  console.log("Token injected:", token);
})();

Также имеется отличная возможность протестировать распознавание капч с помощью браузерного расширения CapMonster Cloud, которое позволяет быстро проверять работу капчи прямо на странице и отслеживать процесс решения в реальном времени без написания кода – доступно для установки в Chrome и Firefox.

Как подключить ALTCHA к своему сайту

Чтобы уверенно ориентироваться в работе капчи на вашем сайте, понимать логику её проверки, заново подключить или перенастроить, рекомендуем вам изучить этот раздел. В нём описан процесс подключения защиты — это поможет быстро разобраться во всех нюансах.

1. Установка виджета

Вариант 1 — через CDN (самый простой). Добавьте в <head>; вашего HTML:

<script async defer src="https://cdn.jsdelivr.net/gh/altcha-org/altcha/dist/altcha.min.js" type="module"></script>

Вариант 2 — через npm:

npm install altcha

Импортируйте виджет в ваш JS-файл:

import "altcha";

2. Добавление виджета в форму.

Вставьте компонент <altcha-widget> в форму, где требуется защита:


<form method="POST" action="/submit">
  <altcha-widget challengeurl="/altcha/challenge"></altcha-widget>
  <button type="submit">Send</button>
</form>

challengeurl — ваш серверный endpoint для выдачи задания (challenge).

Если вы используете ALTCHA Sentinel (готовая серверная защита от ботов и спама, с машинным обучением и анализом трафика), вместо собственного сервера используйте его URL:


<altcha-widget 
  challengeurl="https://sentinel.example.com/v1/challenge?apiKey=YOUR_API_KEY">
</altcha-widget>

Установка и полная инструкция по использованию ALTCHA Sentinel

3. Серверная проверка.

Как проходит проверка:

1) Виджет генерирует payload — Base64-encoded JSON, обычно отправляется как поле формы altcha.
2) На сервере вы проверяете payload криптографически (без лишних API-запросов).
3) После успешной проверки можно обработать форму.

Проверка через ALTCHA Sentinel:

С помощью библиотеки


import { verifyServerSignature } from 'altcha-lib';

// Секретный ключ API, сгенерированный в Sentinel
const apiKeySecret = 'sec_...';

// Payload, полученный от виджета
const payload = '...';

// Проверка
const { verificationData, verified } = await verifyServerSignature(payload, apiKeySecret);

if (verified) {
  // Проверка успешна -- можно обрабатывать данные формы
}

Совет: храните использованные payload, чтобы предотвратить повторное использование (replay attack).

Через HTTP API Sentinel (если библиотека недоступна):


const resp = await fetch('https://sentinel.example.com/v1/verify/signature', {
  method: 'POST',
  headers: { 'Content-Type': 'application/json' },
  body: JSON.stringify({ payload }),
});

const { verified } = await resp.json();

if (verified) {
  // Проверка успешна -- обрабатываем форму
}

API автоматически предотвращает повторное использование одного и того же payload.

4. Проверка без Sentinel (самостоятельный сервер)

Генерация задания (challenge):


import { createChallenge } from 'altcha-lib';

const hmacKey = '$ecret.key'; // Ваш секретный ключ HMAC

const challenge = await createChallenge({ hmacKey });

// Отдаём challenge в JSON для виджета

Проверка payload при отправке формы:


import { verifySolution } from 'altcha-lib';

const hmacKey = '$ecret.key'; // Ваш секретный ключ HMAC

const verified = await verifySolution(payload, hmacKey);

if (verified) {
  // Проверка успешна -- обрабатываем данные формы
}

В этом случае вы самостоятельно создаёте endpoint /altcha/challenge для выдачи заданий и проверяете их на сервере.

Исходный код ALTCHA доступен на GitHub для изучения, настройки и интеграции.

Возможные ошибки и отладка

Неверный challengeurl или API Key

Виджет не загружается или при проверке возвращает ошибку.

Таймаут решения

Сервер не успел проверить payload. Увеличьте время ожидания или убедитесь, что серверная проверка работает корректно.

Пустой payload

Ошибка при передаче результата с виджета на сервер.

Verification failed

Payload просрочен, повторно использован или подделан. Для диагностики включите логирование и проверяйте поле verified и verificationData в ответе от сервера или Sentinel.

Проверка устойчивости защиты

После интеграции важно убедиться, что система действительно защищает сайт от автоматических действий.

Попробуйте выполнить запрос без решения капчи — сервер должен вернуть success: false.

Проведите нагрузочное тестирование (например, с помощью k6 или JMeter) при скорости свыше 100 запросов в секунду — капча должна корректно отображаться, а система валидации оставаться стабильной.

Проверьте реакцию сервера при просроченном или повторно отправленном токене — ожидаемый ответ должен быть 403 Forbidden.

Рекомендации по безопасности и оптимизации

Храните секретные ключи (HMAC или API Key для Sentinel) только на сервере — не отправляйте их на фронтенд.

Логируйте ошибки и события верификации (verified: false и verificationData) для понимания причин неудачных проверок.

Для прозрачности и доверия пользователей добавьте ссылки на политику конфиденциальности и условия использования ALTCHA, если требуется.

Заключение

Если вам достался сайт с уже установленной капчей или другой системой защиты и при этом нет доступа к коду — ничего страшного! Определить, какая именно технология используется, достаточно легко. А для проверки корректности работы можно использовать сервис распознавания CapMonster Cloud в изолированной тестовой среде, чтобы убедиться, что механизм обработки токенов и логика проверки функционируют корректно.

В случае с ALTCHA — достаточно распознать систему, изучить её поведение и убедиться, что защита функционирует корректно. В статье мы показали, как определить ALTCHA и где найти инструкции по её подключению или перенастройке, чтобы уверенно поддерживать защиту и контролировать её работу.

Полезные ссылки

Документация ALTCHA →Исходный код ALTCHA →Документация CapMonster Cloud (работа с ALTCHA) →

Браузерное расширение CapMonster Cloud — доступно для Chrome и Firefox. Полная документация по установке и использованию доступна по ссылке.

ALTCHA и CapMonster Cloud

Как решить ALTCHA через CapMonster Cloud

ALTCHA
и CapMonster Cloud