当前位置:
首页 > temp > 简明python教程 >
-
极验反爬虫防护分析之交互流程分析
今天用极验来实验一波
极验是国内比较有名的身份验证,反爬虫的产品。其反爬虫的手段较多,大概分为: pencil、beeline、click、slide、voice 等多种验证方式,尤其Slide方式是基于大数据的智能行为验证,用户体验较好很得客户青睐,比如我要抢鞋的官网就是基于它来做用户登录的身份验证。
通过极验官网的文档,我们可以得知Geetest的大致交互流程如下图:
结合我抢鞋的接口,整理如下:
1. 获取验证ID及验证流水号
-
请求地址: https://www.nike.com.hk/geetest/doget.json?t=1563879949387&type=MEMBER_LOGIN
-
请求方式: POST
-
请求参数说明:
-
t: 当前时间戳(毫秒)
-
响应内容:
-
返回参数说明:
-
gt: 验证id
-
challenge: 验证流水号
2. 获取验证素材资源
-
请求地址: https://api.geetest.com/gettype.php?gt=2328764cdf162e8e60cc0b04383fef81&callback=geetest_1563879954116
-
请求方式: GET
-
请求参数说明:
-
gt: 之前接口返回的验证ID
-
响应内容:
-
示例:
-
https://static.geetest.com/static/js/fullpage.8.7.9.js
-
https://static.geetest.com/static/js/geetest.6.0.9.js
3. 获取验证的基本参数
-
请求地址: https://api.geetest.com/get.php?gt=2328764cdf162e8e60cc0b0438...
-
请求方式: GET
-
请求参数说明:
-
gt: 之前接口返回的验证ID
-
challenge: 之前接口返回的验证流水号
-
lang=zh-hk
-
pt=0
-
w=4A8S6ZFe9GO43hbI3exYdbebCvxWVtD38od3qc7tqtxxARm4HCI... (待分析)
-
callback=回调函数的方法名
-
响应内容:
4. 获取验证方式
-
请求地址: https://api.geetest.com/ajax.php?gt=2328764cdf162e8e60cc0b0438...
-
请求方式: GET
-
请求参数说明:
-
gt: 之前接口返回的验证ID
-
challenge: 之前接口返回的验证流水号
-
lang=zh-hk
-
pt=0
-
w=pxIvtqzNcdSbk0QJHeRBsozbYtm8519UAKjSyuCMk01J21VwEEWOlV... (待分析)
-
callback=回调函数的方法名
-
响应内容:
5. 获取验证素材信息
-
请求地址: https://api.geetest.com/get.php?is_next=true&type=slide3>=2328764...
-
请求方式: GET
-
请求参数说明:
-
gt: 之前接口返回的验证ID
-
challenge: 之前接口返回的验证流水号
-
lang=zh-hk
-
is_next=true
-
type=slide3
-
https=false
-
protocol=https://
-
offline=false
-
product=embed
-
api_server=api.geetest.com
-
isPC=true
-
width=100%
-
callback=回调函数的方法名
-
响应内容:
-
响应参数说明:
-
https://static.geetest.com/pictures/gt/0191efce3/0191efce3.webp
-
https://static.geetest.com/pictures/gt/0191efce3/bg/8eba80808.webp
-
https://static.geetest.com/pictures/gt/0191efce3/slice/8eba80808.png
6. 提交验证请求
-
请求地址: https://api.geetest.com/ajax.php?gt=2328764cdf162e8e60cc0b...
-
请求方式: GET
-
请求参数说明:
-
gt: 之前接口返回的验证ID
-
challenge: 第六步返回的验证流水号
-
lang=zh-hk
-
pt=0
-
w=cY71fua4Cuvs8Cyrf3rW(VzZHB)oSpARQMV65Dtg... (待分析)
- Python学习群827513319
-
响应内容:
7. 提交登录认证
-
请求地址: https://www.nike.com.hk/member/login.json?loxiaflag=1563879969519
-
请求方式: POST
-
请求参数说明:
-
loginName: xxxxxxxx@qq.com
-
countryCode:
-
password=EJ2JjA3Rw32DrDMHI1Biu7+YKevYJhvU2EyllSQ... (加密后的密码待分析)
-
passwordAgain=EJ2JjA3Rw32DrDMHI1Biu7+YKevYJhvU2EyllSQ... (加密后的密码待分析)
-
rememberLoginName=checked
-
type
-
geetest_challenge=decd09d6c9f1bb219f7550cea8e18c01eb (第六步返回的验证流水号)
-
geetest_validate=545a86f1a2af6f09afc4d1abbb166679 (第七步返回的validate)
-
geetest_seccode=545a86f1a2af6f09afc4d1abbb166679|jordan (第七步返回的validate|jordan)
-
响应内容:
8. 验证流程整理
经测试不需要所有接口都模拟,比如直接指定验证方式为滑块验证,依次调用接口: 1 --> 3 --> 5 --> 6 --> 7 即可。Python学习群:827513319
至此,整个交互流程分析完毕,产生的问题如下:
-
所有用于验证的代码都是混淆之后的,如何进行代码还原或者调试分析。
-
请求与返回的关键数据都是加密的后的字符串如上述3、4、6等接口中的W参数,如何解密。
栏目列表
最新更新
nodejs爬虫
Python正则表达式完全指南
爬取豆瓣Top250图书数据
shp 地图文件批量添加字段
爬虫小试牛刀(爬取学校通知公告)
【python基础】函数-初识函数
【python基础】函数-返回值
HTTP请求:requests模块基础使用必知必会
Python初学者友好丨详解参数传递类型
如何有效管理爬虫流量?
2个场景实例讲解GaussDB(DWS)基表统计信息估
常用的 SQL Server 关键字及其含义
动手分析SQL Server中的事务中使用的锁
openGauss内核分析:SQL by pass & 经典执行
一招教你如何高效批量导入与更新数据
天天写SQL,这些神奇的特性你知道吗?
openGauss内核分析:执行计划生成
[IM002]Navicat ODBC驱动器管理器 未发现数据
初入Sql Server 之 存储过程的简单使用
SQL Server -- 解决存储过程传入参数作为s
关于JS定时器的整理
JS中使用Promise.all控制所有的异步请求都完
js中字符串的方法
import-local执行流程与node模块路径解析流程
检测数据类型的四种方法
js中数组的方法,32种方法
前端操作方法
数据类型
window.localStorage.setItem 和 localStorage.setIte
如何完美解决前端数字计算精度丢失与数