专业Python爬虫实战教程:逆向加密接口与验证码突破完整案例

于 2025-07-29 22:53:47 发布
阅读量398 收藏 15
点赞数 13
CC 4.0 BY-SA版权
文章标签: python 爬虫 开发语言 数据结构 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SUEJESDA/article/details/149757727

案例背景

假设我们需要爬取一家内部测试系统的动态数据API接口。该系统前端页面使用了复杂的JavaScript混淆技术来防止接口被直接调用,同时对请求参数进行了加密签名。另外,登录环节带有图形验证码用于防护。我们的目标是:

  • 分析JavaScript代码,逆向加密签名算法。
  • 模拟登录过程,自动识别图形验证码并提交。
  • 构造正确请求参数,获取动态数据。
  • 完整实现Python爬虫,稳定批量抓取数据。

环境准备

  • Python 3.8+
  • 主要依赖库:
    • requests (HTTP请求)
    • execjs (调用JavaScript引擎)
    • Pillow & pytesseract(验证码图像处理与OCR)
    • jsbeautifier(JS格式化辅助阅读)
    • lxml(HTML解析)
    • selenium & webdriver-manager(动态交互及验证码抓取,可选)

Step 1:分析网页结构和JavaScript代码

模拟环境下,打开前端页面,按F12打开开发者工具:

  • 页面HTML框架简单,核心数据通过POST提交参数调用 /api/v1/getData 接口,返回JSON。
  • POST请求中的参数均为加密后的签名串,且请求头带有特殊字段 X-Custom-Token
  • 登录页带有断码的图形验证码,图片URL是 /captcha/image,验证码刷新时参数带时间戳。

1.1 网络数据初探

使用Chrome Network面板,关注XHR请求:

POST https://internal.test/api/v1/getData
Request Payload:
{
    "param": "EncryptedStringHere",
    "sign": "GeneratedSignature"
}
Response:
{
    "code": 0,
    "data": [ ... ]
}

1.2 找到加密签名函数

通过Sources面板,加载执行的JS文件(例如main.min.js,经过混淆压缩),使用jsbeautifier进行格式化,定位请求相关代码片段。

逆向发现关键函数generateSign(params)

function generateSign(params) {
  var a = btoa(encodeURIComponent(JSON.stringify(params)));
  var b = someObfuscatedFunction(a);
  return md5(b + secretKey);
}

大致逻辑是:

  • 将参数JSON字符串化,编码成URI,再做Base64编码。
  • 经过部分混淆函数处理(someObfuscatedFunction)。
  • 最后加上固定密钥用MD5加密。

Step 2:JavaScript逆向与关键代码还原

2.1 还原混淆函数

原始混淆函数结构类似:

function someObfuscatedFunction(str) {
    var res = '';
    for (var i = 0; i < str.length; i++) {
        res += String.fromCharCode(str.charCodeAt(i) ^ 123); // 按位异或123
    }
    return res;
}

这是典型的异或加密,解密时再次异或同样的数字即可还原。

2.2 Python实现等效签名函数

利用Python的base64hashlib和自定义异或函数实现:

import base64
import hashlib
import urllib.parse

secret_key = 'FixedSecretKey123'  # 从JS中提取的密钥

def xor_str(s, key=123):
    return ''.join(chr(ord(c) ^ key) for c in s)

def generate_sign(params):
    # JSON序列化
    import json
    param_str = json.dumps(params, separators=(',', ':'), ensure_ascii=False)
    # URI编码
    encoded = urllib.parse.quote(param_str)
    # Base64编码
    b64 = base64.b64encode(encoded.encode('utf-8')).decode('utf-8')
    # 异或处理
    xor_result = xor_str(b64)
    # 计算MD5签名
    sign_str = xor_result + secret_key
    md5_hash = hashlib.md5(sign_str.encode('utf-8')).hexdigest()
    return md5_hash

Step 3:验证码识别技术

3.1 获取验证码图片

验证码在登录过程中返回,URL例子:

https://internal.test/captcha/image?_t=时间戳

3.2 图片预处理与OCR识别

验证码为简单断码数字。使用Pillow处理,pytesseract识别。

示例预处理代码:

from PIL import Image, ImageFilter
import pytesseract
import io
import requests

def get_captcha(session):
    url = f'https://internal.test/captcha/image?_t={int(time.time()*1000)}'
    response = session.get(url)
    img = Image.open(io.BytesIO(response.content))
    # 灰度化
    img = img.convert('L')
    # 二值化
    img = img.point(lambda x: 0 if x < 140 else 255, '1')
    # 去噪
    img = img.filter(ImageFilter.MedianFilter())
    return img

def recognize_captcha(img):
    text = pytesseract.image_to_string(img, config='--psm 7 digits')
    text = text.strip().replace(' ', '')
    return text

Step 4:登录流程模拟

登录时需提交用户名、密码、验证码。

def login(session, username, password):
    # 获取验证码并识别
    captcha_img = get_captcha(session)
    captcha_text = recognize_captcha(captcha_img)
    
    login_data = {
        'username': username,
        'password': password,
        'captcha': captcha_text,
    }
    response = session.post('https://internal.test/api/login', data=login_data)
    result = response.json()
    if result['code'] == 0:
        print('登录成功')
    else:
        print('登录失败:', result['msg'])
        raise Exception('登录失败')

Step 5:核心数据接口调用

构造请求参数,调用数据接口:

def fetch_data(session, params):
    sign = generate_sign(params)
    post_data = {
        'param': params,    # 通常是原始参数JSON对象,部分实现会转换为字符串,请按实际情况调整
        'sign': sign,
    }
    headers = {
        'X-Custom-Token': 'token-from-cookie-or-js', # 需要通过登录等动态获取
        'Content-Type': 'application/json',
    }
    resp = session.post('https://internal.test/api/v1/getData', json=post_data, headers=headers)
    data = resp.json()
    if data['code'] == 0:
        return data['data']
    else:
        raise Exception(f"接口调用失败: {data['msg']}")

Step 6:整体爬虫流程整合

import requests
import time

def main():
    session = requests.Session()

    # 登录
    login(session, 'test_user', 'test_password')

    # 伪装UA头
    session.headers.update({
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 \
        (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36'
    })
    
    # 请求示例参数
    params = {'type': 'recent', 'limit': 20, 'timestamp': int(time.time())}
    
    # 调用接口
    data = fetch_data(session, params)
    print('获取数据:', data)

if __name__ == '__main__':
    main()

总结

本案例通过模拟环境设计,综合讲述了下一些高级Python爬虫技术:

  • JavaScript逆向:理解并还原混淆及加密算法核心。
  • 签名构造:使用Python重现JS签名逻辑,成功通过接口认证。
  • 图形验证码识别:图像预处理加OCR,自动突破登录验证。
  • 会话管理:使用requests.Session维护登录态。
  • 爬虫实战:整合流程实现自动登录、数据抓取的完整爬虫。
Python爬虫实战:自动提交表单验证码识别的终极指南
2201_76125261的博客
06-11 626
在信息获取自动化越来越重要的今天,Python 爬虫技术成为数据采集的首选工具。在自动化登录、用户行为模拟、批量抓取等操作中,自动提交表单是一个核心环节。然而,验证码的存在成为拦路虎,意在防止机器人攻击。本篇博客将通过最新的 Python 工具链和深度学习模型,深入剖析如何自动提交带验证码的表单,做到从页面解析、验证码下载、图像识别到数据提交的全流程自动化。Python爬虫核心库介绍表单识别构造验证码识别模型设计自动登录/提交实现完整代码展示实战总结。
Python爬虫高级实战:动态参数加密破解反反爬策略
2201_76125261的博客
07-26 163
在当今互联网时代,数据已成为最宝贵的资源之一。随着网站安全防护技术的不断提升,传统的爬虫技术面临着越来越多的挑战,特别是各种动态参数加密和反爬机制的广泛应用。本文将深入探讨2024年最新的爬虫技术,重点解析如何破解动态加密参数,实现高效、稳定的数据采集。
Python爬虫(33)Python爬虫高阶:动态页面破解验证码OCR识别全流程实战
优快云博客专家,领域包括但不限于:AI、大数据、Python、架构师,有合作、课程、问题、疑惑请私信博主
05-22 2669
本文探讨了Web 3.0时代下网站反爬机制的三大特征:动态渲染普及、验证机制升级和行为检测强化。传统爬虫方案的成功率大幅下降,催生了复合型爬虫解决方案的需求。文章详细介绍了动态页面处理方案对比,推荐使用Selenium+Undetected Chromedriver组合,并提供了Selenium深度集成实践和OCR验证码破解方案。典型应用场景包括电商价格监控系统和社交媒体舆情分析,文章还强调了合规性风险控制的重要性,提出了三大原则:遵循robots.txt规范、数据脱敏处理和频率动态调节。最后,文章总结了
Python爬虫实战:研究js混淆加密
ylfhpy的博客
05-12 1228
在数字化时代,数据采集面临JS混淆加密技术的挑战。本文探讨了如何利用Python爬虫技术应对这一挑战,通过实际案例展示了解决方案。文章首先介绍了Python爬虫基础库如Requests、BeautifulSoup和Scrapy,以及处理JS混淆加密的关键技术如Selenium和PyExecJS。接着,详细分析了JS混淆加密的定义、常见方法及其对爬虫的影响。在案例应用中,通过Selenium模拟浏览器行为、分析和破解JS混淆加密代码,以及使用代理IP池和请求头伪装技术规避反爬机制,成功爬取了电商网站的商品信息
深入浅出-Python爬虫逆向实战
ZTLJQ的博客
02-10 2627
爬虫逆向,简单来说,就是通过分析网页的前端和后端行为,找出数据的来源和获取方式,从而实现自动化抓取。很多时候,直接使用requests和可能无法获取到目标数据,因为数据可能由JavaScript动态加载,或者隐藏在API请求中。逆向工程的目标,就是通过分析这些行为,找到数据的真实来源,并模拟请求获取数据。通过这个案例,我们展示了如何通过逆向工程实现动态网页的数据抓取。使用浏览器开发者工具分析网页行为。找到数据的来源(API接口)。模拟API请求,处理分页和反爬机制。存储和处理抓取到的数据。
Python爬虫逆向实战加密方法远程调用(RPC)
热爱代码
09-06 1619
加密方法远程调用采用了协议,即远程过程调用协议。我们让浏览器充当客户端,并通过WebSocket将加密参数值发送给服务端(用Python写一个),这样的话我们就不需要花费大量时间去逆向了。下面我们就通过一个微博登录示例来演示下RPC的用法。
Python爬虫(36)Python爬虫高阶:Splash渲染引擎+OpenCV验证码识别实战指南
优快云博客专家,领域包括但不限于:AI、大数据、Python、架构师,有合作、课程、问题、疑惑请私信博主
05-24 2729
在Web 3.0技术浪潮下,数据采集领域面临三大技术变革:前端架构极客化、反爬技术军事化和规模需求指数化。传统爬虫系统存在渲染性能瓶颈、验证码成本失控和反爬对抗升级等困境。为解决这些问题,本文提出了一种智能爬虫系统,采用Splash渲染引擎、OpenCV验证码识别系统和混合渲染调度策略。Splash引擎通过异步渲染和Lua脚本扩展提升性能,OpenCV系统通过数据增强和模型优化提高验证码识别准确率。混合调度策略根据页面复杂度选择渲染引擎,并结合缓存机制和失败重试策略提升系统稳定性。该系统在电商价格监控和金融
Python爬虫(46) Python爬虫进阶:多线程异步抓取WebAssembly反加密实战指南
优快云博客专家,领域包括但不限于:AI、大数据、Python、架构师,有合作、课程、问题、疑惑请私信博主
06-02 6300
本文系统探讨了现代爬虫技术面临的三大挑战:动态渲染加密、性能瓶颈和反爬升级。提出了融合多线程异步架构WebAssembly逆向的三阶段解决方案,包括使用concurrent.futures和aiohttp提升性能,通过wasm逆向破解前端加密实战案例展示了某电商网站加密参数的分析Python实现,性能测试显示完整方案将抓取效率提升25倍(1000页仅需18秒),反爬检测率降至5%。文章提供了从原理到落地的全流程技术指南,为构建高效反加密爬虫系统提供了范式。
Python爬虫【三十三章】爬虫高阶:动态页面破解验证码OCR识别全流程实战
2501_92499985的博客
07-11 1889
本文构建的复合型爬虫解决方案实现三大突破技术融合创新:首次整合Selenium动态渲染、BeautifulSoup解析、Tesseract OCR三大技术栈识别率提升:通过CNN增强使验证码识别准确率较传统方案提升42%反爬突破:成功应对IP封禁、设备指纹识别等7类反爬机制该方案已应用于金融数据采集、电商比价等场景,日均处理数据量达2.3TB。未来将探索结合计算机视觉的智能点击方案,以及基于GAN的验证码生成对抗训练,持续提升爬虫系统的环境适应能力。文章价值主张。
全栈Python爬虫实战教程:从基础到高级技巧
资源摘要信息:"本资源为Python爬虫教程系列,旨在帮助初学者从零基础开始学习Python爬虫技术。教程内容全面,涵盖了从基础到高级的多个重要知识点,包括但不限于以下内容: 1. **浏览器抓包技术**:介绍了如何使用...
Python爬虫实战:Scrapy、Selenium逆向解析
"该课程是关于Python分布式爬虫逆向进阶的实战教程,旨在帮助学习者构建全面的爬虫知识体系。课程涵盖了20多个案例,涉及到Scrapy、Selenium等热门爬虫框架的使用,以及多种验证码识别技术和JavaScript逆向工程,...
力扣30 天 Pandas 挑战(3)---数据操作
最新发布
qq_66660756的博客
07-29 738
本文介绍了6道力扣Pandas简单题的解题思路:1) 177.第N高的薪水 - 通过去重排序获取第N高工资;2) 176.第二高薪水 - 类似177题的简化版;3) 184.部门最高薪员工 - 使用分组和合并查询部门最高薪;4) 178.分数排名 - 使用dense_rank()实现连续排名;5) 196.删除重复邮箱 - 通过排序和去重保留最小id记录;6) 1795.产品价格重构 - 使用melt()将宽表转为长表。这些题目涵盖了Pandas数据处理的基本操作,适合初学者练习数据清洗、转换和分析。
Redis 键值对操作详解:Python 实现指南
AI浩
07-29 597
场景推荐操作替代方案添加小数据SETHSET(对象)添加大数据HSET/MSET分批次添加添加临时数据SETEX删除小数据DELETEUNLINK删除大数据UNLINK无批量操作管道 + MSET/UNLINK单独命令添加操作使用set()添加单个键值对使用mset()批量添加多个键值对使用setex()添加带过期时间的键值对删除操作优先使用unlink()进行删除(尤其大型数据)仅在需要立即释放内存时使用delete()批量删除时结合管道提高效率。
Python】绘制小提琴、箱线和散点的组合图
a11113112的博客
07-25 472
可根据需求修改各图的配色。
Python游戏开发:Pygame全面指南实战
LiuYiCheng123456的博客
07-29 770
Pygame是一个基于Python的开源游戏开发库,提供多媒体应用开发所需的图形、声音和输入功能。文章首先介绍了Pygame的特点、其他游戏引擎的对比以及安装方法。然后详细讲解了创建游戏窗口的基础知识,包括初始化、主循环结构和基本绘图功能,并提供了简单绘图板的完整示例代码。最后介绍了图像处理动画技术,涵盖图像加载、变换和动画实现原理,附有角色动画的实践示例。全文循序渐进地展示了使用Pygame开发2D游戏的核心技术要点。
Python快速入门(2025版):常量、变量
iotzgq的博客
07-28 591
本文介绍了Python编程中常量和变量的核心概念。常量是固定不变的值(如数字100、圆周率3.14),用于组成运算表达式;变量则是可变的存储空间(如num1=100),用于临时保存数据以便后续处理。文章通过生活化类比(如购物篮)和编程示例,清晰区分了两者的用途差异,并强调这是Python编程的重要基础。适合初学者快速理解基本概念,为后续学习打下基础。
力扣刷题(第九十八天)
eachin_z的博客
07-25 279
python脚本学习。- 保持更新,努力学习。
Python 数据科学可视化工具箱 (一) - 数组创建:array(), arange(), zeros(), ones(), linspace()
晨的技术博客
07-25 576
NumPy是数据科学的核心库之一,提供了高效的多维数组处理能力。本文详细介绍了NumPy中最常用的数组创建函数:np.array()可将现有数据转换为数组;np.arange()生成等差序列;np.zeros()和np.ones()分别创建全零和全一数组;np.linspace()生成等间隔数值序列。这些函数能快速初始化数组,并支持指定数据类型、形状等属性,满足不同计算需求,是数据处理的必备工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZTLJQ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值