Tiện ích mở rộng cho trình duyệt

Cho doanh nghiệp

Giá cả

Blog

Tài liệu

Tiếng Việt

ALTCHA
và CapMonster Cloud

Giải captcha, cài đặt trên trang web và kiểm thử.

Bạn nhận lại một website đã có captcha hoặc lớp bảo vệ khác nhưng không có quyền truy cập mã nguồn? Khi đó điều bạn cần biết là giải pháp nào đang chạy, cấu hình có đúng không và cách kiểm tra như thế nào.

Trong bài viết này, chúng tôi đã cố gắng trả lời tất cả những câu hỏi quan trọng. Bước đầu tiên để bắt đầu giải quyết vấn đề là xác định hệ thống bảo mật nào đang được sử dụng. Để làm điều đó, bạn có thể tham khảo danh sách các captcha và hệ thống chống bot phổ biến, trong đó có các ví dụ minh họa và những dấu hiệu chính giúp bạn nhanh chóng nhận biết mình đang làm việc với giải pháp nào.

Nếu bạn phát hiện trang web của mình đang sử dụng ALTCHA, bước tiếp theo là tìm hiểu chi tiết hơn về các đặc tính và cách hoạt động của nó. Ngay trong bài viết này, bạn cũng có thể xem hướng dẫn tích hợp hệ thống ALTCHA để hiểu đầy đủ cách nó vận hành trên trang web của bạn. Điều đó giúp bạn không chỉ nắm rõ lớp bảo vệ hiện tại mà còn lập kế hoạch bảo trì một cách hợp lý.

ALTCHA là gì

ALTCHA (Alternative CAPTCHA) là một hệ thống bảo vệ website khỏi bot và spam. Nó giúp phân biệt người dùng thật với chương trình tự động, đảm bảo trang web hoạt động an toàn và ổn định. ALTCHA là một lựa chọn thay thế hiện đại cho CAPTCHA truyền thống: sử dụng nhiệm vụ mã hóa nhẹ (proof-of-work) và không thu thập cookie hay theo dõi người dùng.

Ví dụ về ALTCHA

Proof-of-Work (PoW)

Hệ thống mặc định sử dụng phương pháp xác minh Proof-of-Work (PoW), loại bỏ các câu đố hình ảnh và các kiểm tra gây phiền nhiễu. Cách tiếp cận này kết hợp giữa bảo mật và tiện lợi cho người dùng, cung cấp giải pháp captcha tinh tế phù hợp với hầu hết khách truy cập.

Code Captcha

Bảo vệ có thể được nâng cao lên đến việc giải captcha văn bản.

Invisible Captcha

Xác minh diễn ra mà không cần widget hiển thị; không yêu cầu người dùng thực hiện bất kỳ thao tác nào.

Cách giải ALTCHA qua CapMonster Cloud

Khi kiểm thử biểu mẫu chứa ALTCHA, bạn thường phải xác minh xem captcha đã tích hợp đúng và hoạt động ổn định chưa.

Bạn có thể tự kiểm tra captcha trên site.

Mở trang có form và đảm bảo captcha hiển thị.
Thử gửi form mà không giải captcha — máy chủ phải trả lỗi.
Sau khi giải thành công, form phải gửi đi trơn tru.

Để giải tự động có thể dùng CapMonster Cloud, dịch vụ nhận tham số captcha, xử lý trên máy chủ của họ và trả về token sẵn dùng. Chèn token này vào form để vượt qua kiểm tra mà không cần tương tác người dùng.

Làm việc với CapMonster Cloud qua API thường gồm các bước:

Tạo nhiệm vụ

Ở bước này, gửi API key, loại captcha và các tham số. Dịch vụ trả về taskId duy nhất, sau này có thể dùng để nhận kết quả.

Gửi yêu cầu API

Yêu cầu để giải ALTCHA cần các tham số sau:

type - CustomTask

class - altcha

websiteURL - địa chỉ trang mà captcha được giải

websiteKey - đối với nhiệm vụ này, có thể gửi chuỗi rỗng.

challenge (trong metadata) - ID nhiệm vụ duy nhất lấy từ trang web.

iterations (trong metadata) - số vòng lặp hoặc số tối đa cho tính toán. Quan trọng: iterations tương ứng với giá trị maxnumber!

salt (trong metadata) - salt lấy từ trang web, dùng để tạo hash.

signature (trong metadata) - chữ ký số của yêu cầu.

userAgent - User-Agent của trình duyệt. Chỉ gửi UA hiện tại của Windows.

Chi tiết về các tham số và cách thu thập tự động có trong tài liệu CapMonster Cloud.

Địa chỉ gửi nhiệm vụ:

https://api.capmonster.cloud/createTask

Ví dụ yêu cầu:

{
  "clientKey": "API_KEY",
  "task": {
    "type": "CustomTask",
    "class": "altcha",
    "websiteURL": "https://example.com",
    "websiteKey": "",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
    "metadata": {
      "challenge": "3dd28253be6cc0c54d95f7f98c517e68744597cc6e66109619d1ac975c39181c",
      "iterations": "5000",
      "salt":"46d5b1c8871e5152d902ee3f?edk=1493462145de1ce33a52fb569b27a364&codeChallenge=464Cjs7PbiJJhJZ_ReJ-y9UGGDndcpsnP6vS8x1nEJyTkhjQkJyL2jcnYEuMKcrG&expires=1761048664",
      "signature": "4b1cf0e0be0f4e5247e50b0f9a449830f1fbca44c32ff94bc080146815f31a18"
    }
  }
}

Phản hồi:

{
  "errorId":0,
  "taskId":407533072
}

Nhận kết quả

Sau khi tạo nhiệm vụ, hãy kiểm tra định kỳ trạng thái giải.

Địa chỉ để nhận kết quả:

https://api.capmonster.cloud/getTaskResult

Ví dụ yêu cầu:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Phản hồi:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "data": {
      "token": "eyJhbGdvcml0aG0iOiJTSEEtMjU2IiwiY2hhbGxlbmdlIjoiNjMxOGUzYzc2NjhlOTZiMmFlYjg2NGU2NmRmMTliODRkYmYwZDBhMWRjNjYwMDdiMGM5ZGI4ODZiNTUxNjQxNiIsIm51bWJlciI6MTY0NDcsInNhbHQiOiJiMTQ1YWE5ZmU5MjA3NjBiMDgxYTAwNTMiLCJzaWduYXR1cmUiOiI5NzM4MmJlODE2NDUwNzk5MzlhYmU2M2ZkYzZjN2E3ZGYwOTM5MzNjODljZTk0ZjgzNTgxYmUyNDU3ZmI4MDM0IiwidG9vayI6MTczLjl9",
      "number": "16447"
    }
  }
}

Áp dụng token lên trang

Phản hồi từ CapMonster Cloud có thể có hai định dạng:

Token đầy đủ — tập hợp các tham số được mã hóa base64 (bao gồm number).
Chỉ number — nếu server chỉ cần nhận ID giải.

Để tự động hóa việc chèn token/số và gửi biểu mẫu, bạn có thể sử dụng Puppeteer, Playwright hoặc Selenium — chúng cho phép mô phỏng hành vi người dùng, chèn các trường ẩn và kích hoạt việc gửi biểu mẫu. Khi kiểm thử, đừng quên bao quát cả hai kịch bản: gửi token đầy đủ và chỉ gửi số, cũng như các lỗi (token hết hạn, số sai, sử dụng lại).

Giải, chèn token và gửi form

Ví dụ Node.js cho chu trình đầy đủ nhận dạng captcha trên trang web của bạn. Các cách tiếp cận có thể: dùng yêu cầu HTTP để lấy HTML và tham số captcha, gửi phản hồi và xử lý kết quả; hoặc dùng công cụ tự động hóa (ví dụ: Playwright) — mở trang, chờ captcha xuất hiện, gửi tham số (có thể thử dữ liệu đúng hoặc sai), nhận kết quả qua client CapMonster Cloud, chèn token vào form và kiểm tra kết quả.

// npm install playwright
// npx playwright install chromium

const { chromium } = require("playwright");

const API_KEY = "YOUR_API_KEY";
const ALTCHA_PAGE = "https://example.com"; // Trang web của bạn với ALTCHA

(async () => {
  const browser = await chromium.launch({ headless: false, devtools: true });
  const context = await browser.newContext();
  const page = await context.newPage();

  // Bắt tất cả phản hồi từ endpoint Altcha
  let challengeResp = null;
  page.on("response", async (response) => {
    try {
      const url = response.url();
      if (url.startsWith("https://captcha.example.com/altcha")) { // Endpoint Altcha
        challengeResp = await response.json();
        console.log("Captured Altcha response:", challengeResp);
      }
    } catch (err) {
      console.warn("Error parsing Altcha response:", err);
    }
  });

  await page.goto(ALTCHA_PAGE, { waitUntil: "networkidle" });

  // Nhấn vào widget nếu có
  const widgetHandle = await page.$("altcha-widget");
  if (widgetHandle) {
    try {
      await widgetHandle.click();
    } catch {}
  }

  // Chờ challenge xuất hiện
  const start = Date.now();
  while (!challengeResp && Date.now() - start < 60000) { // Tăng timeout
    await new Promise((r) => setTimeout(r, 300));
  }

  if (!challengeResp) {
    console.error("Failed to capture Altcha challenge.");
    await browser.close();
    return;
  }

  const { challenge, salt, signature, maxnumbers } = challengeResp;

  // Tạo task trên CapMonster Cloud
  const createTaskBody = {
    clientKey: API_KEY,
    task: {
      type: "CustomTask",
      class: "altcha",
      websiteURL: ALTCHA_PAGE,
      websiteKey: "",
      userAgent:"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36",
      metadata: {
        challenge,
        iterations: maxnumbers || 100000,
        salt,
        signature,
      },
    },
  };

  const taskResp = await fetch("https://api.capmonster.cloud/createTask", {
    method: "POST",
    headers: { "Content-Type": "application/json" },
    body: JSON.stringify(createTaskBody),
  }).then((r) => r.json());

  console.log("CreateTask response:", taskResp);
  if (!taskResp?.taskId) {
    console.error("CreateTask failed:", taskResp);
    await browser.close();
    return;
  }

  const taskId = taskResp.taskId;

  // Nhận giải pháp
  let fullSolution = null;
  const pollStart = Date.now();
  while (Date.now() - pollStart < 120000) {
    const res = await fetch("https://api.capmonster.cloud/getTaskResult", {
      method: "POST",
      headers: { "Content-Type": "application/json" },
      body: JSON.stringify({ clientKey: API_KEY, taskId }),
    }).then((r) => r.json());

    if (res.status === "ready") {
      fullSolution = res.solution;
      console.log("Solution:", fullSolution);
      break;
    }
    await new Promise((r) => setTimeout(r, 3000));
  }

  if (!fullSolution) {
    console.error("No solution received in time.");
    await browser.close();
    return;
  }

  const token = fullSolution?.data?.token || fullSolution?.token || fullSolution?.data;

  if (!token) {
    console.error("Token not found in solution:", fullSolution);
    await browser.close();
    return;
  }

  //Chèn token
  await page.evaluate((t) => {
    let input = document.querySelector("#captchaParaValidar");
    if (!input) {
      input = document.createElement("input");
      input.type = "hidden";
      input.id = "captchaParaValidar";
      input.name = "captchaParaValidar";
      (document.querySelector("form") || document.body).appendChild(input);
    }
    input.value = t;

    let alt = document.querySelector('input[name="altcha"]');
    if (!alt) {
      alt = document.createElement("input");
      alt.type = "hidden";
      alt.name = "altcha";
      (document.querySelector("form") || document.body).appendChild(alt);
    }
    alt.value = t;

    const widget = document.querySelector("altcha-widget");
    if (widget) {
      widget.setAttribute("data-state", "verified");
      const checkbox = widget.querySelector("input[type='checkbox']");
      if (checkbox) {
        checkbox.checked = true;
        checkbox.dispatchEvent(new Event("change", { bubbles: true }));
      }
      const label = widget.querySelector(".altcha-label");
      if (label) label.textContent = "Verified";
    }
  }, token);

  console.log("Token injected:", token);
})();

Bạn cũng có thể kiểm tra nhận dạng captcha bằng tiện ích mở rộng trình duyệt CapMonster Cloud, cho phép kiểm tra captcha trực tiếp trên trang và theo dõi quá trình giải theo thời gian thực mà không cần viết code — có sẵn cho Chrome và Firefox.

Cách kết nối ALTCHA với trang web của bạn

Để hiểu cách captcha hoạt động trên trang web, logic xác minh, kết nối lại hoặc cấu hình lại, nên đọc phần này. Nó mô tả quá trình tích hợp bảo vệ và giúp bạn nắm nhanh các chi tiết.

1. Cài đặt widget

Tùy chọn 1 — qua CDN (dễ nhất). Thêm vào <head> của HTML:

<script async defer src="https://cdn.jsdelivr.net/gh/altcha-org/altcha/dist/altcha.min.js" type="module"></script>

Tùy chọn 2 — qua npm:

npm install altcha

Import widget vào file JS của bạn:

import "altcha";

2. Thêm widget vào form.

Chèn component <altcha-widget> vào form cần bảo vệ:


<form method="POST" action="/submit">
  <altcha-widget challengeurl="/altcha/challenge"></altcha-widget>
  <button type="submit">Send</button>
</form>

challengeurl — endpoint server của bạn để phát challenge.

Nếu sử dụng ALTCHA Sentinel (bảo vệ server sẵn có chống bot và spam, với machine learning và phân tích traffic), sử dụng URL của nó thay vì server của bạn:


<altcha-widget 
  challengeurl="https://sentinel.example.com/v1/challenge?apiKey=YOUR_API_KEY">
</altcha-widget>

Hướng dẫn cài đặt và sử dụng ALTCHA Sentinel

3. Kiểm tra server.

Cách kiểm tra diễn ra:

1) Widget tạo payload — JSON mã hóa Base64, thường gửi như trường form altcha.
2) Trên server kiểm tra payload bằng cách mã hóa (không cần gọi API thêm).
3) Sau khi kiểm tra thành công, form có thể được xử lý.

Kiểm tra qua ALTCHA Sentinel:

Dùng thư viện


import { verifyServerSignature } from 'altcha-lib';

// API secret key tạo trên Sentinel
const apiKeySecret = 'sec_...';

// Payload nhận từ widget
const payload = '...';

// Kiểm tra
const { verificationData, verified } = await verifyServerSignature(payload, apiKeySecret);

if (verified) {
  // Kiểm tra thành công — dữ liệu form có thể xử lý
}

Mẹo: lưu các payload đã sử dụng để tránh tái sử dụng (replay attack).

Qua HTTP API Sentinel (nếu thư viện không có sẵn):


const resp = await fetch('https://sentinel.example.com/v1/verify/signature', {
  method: 'POST',
  headers: { 'Content-Type': 'application/json' },
  body: JSON.stringify({ payload }),
});

const { verified } = await resp.json();

if (verified) {
  // Kiểm tra thành công — xử lý form
}

API tự động ngăn payload bị tái sử dụng.

4. Kiểm tra không dùng Sentinel (server riêng)

Tạo challenge:


import { createChallenge } from 'altcha-lib';

const hmacKey = '$ecret.key'; // Secret key HMAC của bạn

const challenge = await createChallenge({ hmacKey });

// Trả challenge dưới dạng JSON cho widget

Kiểm tra payload khi gửi form:


import { verifySolution } from 'altcha-lib';

const hmacKey = '$ecret.key'; // Secret key HMAC của bạn

const verified = await verifySolution(payload, hmacKey);

if (verified) {
  // Kiểm tra thành công — xử lý dữ liệu form
}

Trong trường hợp này, bạn tự tạo endpoint /altcha/challenge để phát nhiệm vụ và kiểm tra trên server.

Mã nguồn ALTCHA có sẵn tại GitHub để nghiên cứu, cấu hình và tích hợp.

Các lỗi thường gặp và cách xử lý

challengeurl hoặc API Key không hợp lệ

Widget không tải hoặc trả về lỗi khi kiểm tra.

Timeout khi giải

Server chưa kịp kiểm tra payload. Tăng thời gian chờ hoặc đảm bảo kiểm tra server hoạt động chính xác.

Payload rỗng

Lỗi khi gửi kết quả từ widget đến server.

Verification failed

Payload đã hết hạn, bị sử dụng lại hoặc bị giả mạo. Để chẩn đoán, bật logging và kiểm tra trường verified và verificationData trong phản hồi từ server hoặc Sentinel.

Kiểm tra độ bền vững của lớp bảo vệ

Sau khi tích hợp, hãy đảm bảo hệ thống thực sự chặn được những hành động tự động.

Thử gửi yêu cầu mà không giải captcha — server sẽ trả về success: false.

Thực hiện kiểm thử tải (ví dụ: k6 hoặc JMeter) trên 100 yêu cầu/giây — captcha phải hiển thị đúng và hệ thống xác minh vẫn ổn định.

Kiểm tra phản ứng của server với token đã hết hạn hoặc sử dụng lại — phản hồi mong đợi 403 Forbidden.

Khuyến nghị về bảo mật và tối ưu

Chỉ giữ <b>khóa bí mật</b> (HMAC hoặc API Key cho Sentinel) trên máy chủ — không gửi lên frontend.

Chỉ giữ khóa bí mật (HMAC hoặc API Key cho Sentinel) trên máy chủ — không gửi lên frontend.

<b>Ghi lại lỗi</b> và các sự kiện xác minh (<b>verified: false</b> và <b>verificationData</b>) để hiểu lý do kiểm tra thất bại.

Ghi lại lỗi và các sự kiện xác minh (verified: false và verificationData) để hiểu lý do kiểm tra thất bại.

Để minh bạch và tạo niềm tin cho người dùng, <b>thêm liên kết đến chính sách quyền riêng tư</b> và <b>điều khoản sử dụng ALTCHA</b> nếu cần.

Để minh bạch và tạo niềm tin cho người dùng, thêm liên kết đến chính sách quyền riêng tư và điều khoản sử dụng ALTCHA nếu cần.

Kết luận

Nếu bạn tiếp quản một trang web đã được cài sẵn captcha hoặc một hệ thống bảo vệ khác nhưng lại không có quyền truy cập vào mã nguồn thì cũng không có gì đáng lo! Việc xác định chính xác công nghệ nào đang được sử dụng khá đơn giản. Để kiểm tra xem mọi thứ có hoạt động đúng hay không, bạn có thể dùng dịch vụ nhận dạng CapMonster Cloud trong một môi trường thử nghiệm tách biệt nhằm đảm bảo cơ chế xử lý token và logic kiểm tra đang vận hành chính xác.

Với ALTCHA, bạn chỉ cần nhận diện hệ thống, quan sát hành vi của nó và xác nhận rằng lớp bảo vệ hoạt động đúng cách. Trong bài viết này, chúng tôi đã chỉ ra cách nhận biết ALTCHA và nơi tìm hướng dẫn tích hợp hoặc cấu hình lại, giúp bạn tự tin duy trì lớp bảo vệ và kiểm soát hoạt động của nó.

Liên kết hữu ích

Tài liệu ALTCHA →

Mã nguồn ALTCHA →

Tài liệu CapMonster Cloud (làm việc với ALTCHA) →

Tiện ích CapMonster Cloud cho trình duyệt có sẵn trên Chrome và Firefox. Hướng dẫn cài đặt và sử dụng đầy đủ tại đây.

ALTCHA và CapMonster Cloud

ALTCHA
và CapMonster Cloud