Bypass NuData, nds-pmd généré.
Un bypass NuData sans navigateur. Takion génère le payload comportemental nds-pmd que NuData attend, pour que vos requêtes de login et de paiement passent son contrôle antifraude.
Dernière mise à jour · Couverture testée contre une cible NuData réelle.
Bloqué par NuData ?
NuData n'affiche pas de captcha. Il score le comportement derrière votre requête et attend un payload correspondant, généralement envoyé sous le nom nds-pmd, sur les actions sensibles comme le login et le paiement. Takion génère ce payload côté serveur, sans navigateur de votre côté, et le renvoie prêt à être attaché sous le nom de champ que le site attend. Insérez-le dans votre requête et le contrôle antifraude passe.
Comment fonctionne NuData
NuData Security (désormais rattaché à Mastercard) ne présente pas de captcha, il observe le comportement. Son script capteur collecte un flux de signaux d'appareil, de timing et d'interaction et les emballe dans un payload, généralement envoyé sous le nom nds-pmd, que le site poste avec les actions sensibles comme le login et le paiement. Un payload absent ou robotique fait passer la requête pour de la fraude et l'action est refusée.
Takion lit le script capteur NuData de votre cible, génère un payload nds-pmd valide côté serveur et le renvoie prêt à être attaché. Un seul appel, pas de navigateur, aucun comportement à simuler. Vous insérez le payload dans la requête de login ou de paiement sous le nom de champ que le site attend (input_name), et il passe le contrôle antifraude.
- Les défis que Takion couvre
- Scoring par biométrie comportementale (appareil, timing, interaction)
- Le payload nds-pmd au login et au paiement
- Variation du nom de token par site (input_name)
- Rotations du script capteur
Ce qu'un seul appel renvoie
Un seul appel vers l'endpoint NuData renvoie exactement le payload comportemental que le site attend, prêt à être attaché à votre requête de login ou de paiement.
nds-pmdle payload comportemental que la requête de login ou de paiement attend
input_namele nom de champ exact sous lequel envoyer le payload ; il varie selon le site
curl -G https://nudata.takionapi.tech/generate \
--data-urlencode "api_key=$TAKION_KEY" \
--data-urlencode "url=https://nudata.ticketmaster.com/2.2/w/w-481390/sync/js/"
# → { "result": "<nds-pmd payload>", "input_name": "nds-pmd" }Lire la documentation NuDataUne seule clé, tous les murs. Un même format JSON, tous les vendors.
How the NuData bypass works, end to end
No captcha, no browser. NuData watches behavior, so Takion builds the behavioral payload for you. Five moves from flagged to cleared.
- 1
Grab the sensor script URL
Find the NuData script the page loads, like https://nudata.ticketmaster.com/2.2/w/w-481390/sync/js/. That URL tells us which site settings and field name to build against.
- 2
Open a session
Send the url as a query param to /generate. The first login call opens a session and hands back a session_id. Reuse that session_id on follow-up calls to stay in the same session.
- 3
Describe the actions
Put the user actions to simulate in the JSON body, an input and a sign-in button by default. For a payment flow set checkout: true and we build a checkout payload instead.
- 4
We generate it server-side
Takion loads the site's NuData settings, computes the device, timing, and interaction signals, and packs them into a valid payload. No browser runs on your side.
- 5
Attach and send
The response carries result, the payload, and input_name, usually nds-pmd. Drop result into your own login or checkout request under input_name and it clears the fraud check.
The NuData request, decoded
One endpoint, a few knobs. url and session_id ride as query params, the rest goes in the JSON body:
url (query)- the NuData sensor script URL. Lets us load the site's settings and detect the exact field name it wants
session_id (query)- returned by the first login call. Send it back to continue the same session instead of starting cold
actions (body)- the user actions to simulate, like an input and a sign-in button. Defaults to a password input plus sign-in
checkout (body)- set true to build a checkout payload instead of a login one, using your click_targets. Costs two requests
cookies + proxy (body)- your client cookies and proxy for the init flow, so the session lines up with the request you actually send
result + input_name (response)- the payload value and the field name to send it under, usually nds-pmd, plus the session_id to reuse
Why request-based beats a browser for behavioral signals
The browser way to pass NuData is to actually behave. You boot a real Chrome, move a mouse along a human-looking path, type at human speed, and hope the sensor script scores it as real. It works until NuData tunes its model, and it costs you a browser farm plus seconds of faked typing per login.
Takion reads the sensor script and builds the behavioral payload directly. We know what signals NuData collects and what a clean session looks like, so we generate one without rendering a page or faking a single mouse move. A solve is an HTTP call, not a browser session. You send a URL, you get the payload back.
What flags a NuData session
NuData scores the whole session, not one field. These are what tip it from clean to fraud:
- No payload. Send the login or checkout without nds-pmd and NuData reads it as automation instantly. The field has to be there.
- The wrong field name. input_name varies per site. Send the payload under nds-pmd when the site expects something else and it never gets scored. Use the input_name we return.
- Robotic or empty signals. A payload with no real device, timing, or interaction data scores as a bot. Generating it server-side is the point, ours carries the signals NuData expects.
- A stale or reused payload. Payloads are tied to a session and an action. Replay one across many logins and NuData's rescoring catches the reuse. Generate a fresh one per flow.
- A broken session. On a login flow the session_id ties your calls together. Drop it, or mix cookies and proxy between the init and the real request, and the session stops lining up.
The one rule for a clean login session
On a login flow, open the session once, reuse the session_id it returns, and keep the same cookies and proxy across the init and the real request. NuData scores the session as a whole. Keep every call pointing at one consistent session and the payload lands clean.
Quelques sites utilisant NuData
NuData protège ces sites. Takion le franchit sur chacun, donc un bypass de ticketmaster est le même POST unique que n'importe quel autre mur.
tous les sous-domaines, paiement et login
FAQ bypass NuData
- Il n'y a aucun captcha à résoudre. NuData est comportemental, donc Takion génère le payload comportemental nds-pmd que le site attend et le renvoie prêt à être attaché à votre requête de login ou de paiement.
- Dans le champ sous lequel le site l'envoie, en général nds-pmd. Le nom peut varier selon le site, c'est pourquoi Takion renvoie aussi l'input_name exact à utiliser.
- Oui. Pointez Takion vers le script capteur NuData du flux concerné (login ou paiement) et il renvoie un payload nds-pmd valide pour cette action, sur l'ensemble des sous-domaines Ticketmaster.
- C'est le script capteur que la page charge, par exemple https://nudata.ticketmaster.com/2.2/w/w-481390/sync/js/. Vous passez cette URL à Takion et il génère le payload contre celle-ci.
Tous les autres murs
Livrez votre bypass NuData dès aujourd'hui.
Essai gratuit, puis une seule clé pour tous les murs. Premier appel en moins d'une heure.