akamai3.0逆向分析一

最新推荐文章于 2025-09-23 13:04:50 发布

原创最新推荐文章于 2025-09-23 13:04:50 发布 · 1.4k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#爬虫 #安全

不针对特定网站，只是一个初步分析。

前期js文件会生成一个28个的对象，见有的文章说是30位，我抓包数了下，有31个，但是其中有3个是undefined，这个在json序列化的时候是没有的。

大概这么个对象，他的加密得一个流程是先获取获取到的bm_sz的cookie进行一个split操作之后得到一个list，然后获取索引为2的数字。

nj根据文件不同会发生变化。

加密的流程是这样

gjg就是根据cookiesplit后拿到的一个数组，后续对28位对象序列化后的一个乱序，

第一步乱序是进行了位运算从新排序sort_arr_string通过gjg的第一个数

第二部的乱序是传入了根据第二个gjg及序列化后的第一步乱序后的结果

第二部出来的结果就是sensor_data最后一部分的内容

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

blackpearl9

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Akamai-3.0补环境逆向-DHL快递查询

2302_76420666的博客

06-08

2090

那么我们的请求过程就是：1.请求首页的html文件，通过re或xpath,提取到这个url，拼接官网地址，得到这个js文件的地址。返回的_abck为0，表示环境正确，请求搜索接口返回200，说明返回的_abck正确，如果过程错误或环境补的有问题会返回403或428这两个状态码。那么，就是这个包返回的，而且这个包需要请求两次，第一次get请求，返回的这个-1的cookie,第二次请求，带上一个sensor_data的参数，进行post请求，最终返回这个0的cookie,代表你过了akamai这个盾。

Akamai最新逆向分析，sensor_data，阿卡迈，abck

贰月的博客

11-22

3201

参与评论您还未登录，请先登录后发表或查看评论

Akamai传感器数据高级分析与企业级检测对抗技术

qq_33253945的博客

09-23

308

深度剖析Akamai Bot Manager传感器数据的生成机制与检测原理，提供企业级的高级分析技术和完整的Python检测对抗实现方案。

Akamai 逆向分析：深入了解全球领先的CDN技术

LYFYSZ123的博客

02-11

2015

Akamai Technologies是一家全球领先的内容分发网络（CDN）和云计算服务公司。成立于1998年，Akamai的核心使命是通过分布在全球的服务器网络，为客户提供加速网站内容传输的服务。作为全球最大的CDN之一，Akamai的服务涉及到海量的数据传输与负载均衡，广泛应用于网站加速、视频流、Web安全、云存储、API加速等多个领域。Akamai的全球服务器覆盖网络超过1200个数据中心，帮助全球客户提供高效、低延迟、高可用性的互联网服务。

ti最新版akamai的js分析与逆向------002小试牛刀

大叔刘

03-15

4497

导读：就稍微看下源码，发现全是定义一些变量罢了。一坨一坨的，大小写崇明的变量也很多，记住也麻烦日了狗了当我们打开源文件后，第一个定义了一个变量pp 而且等于 {} 紧接着做了个typeof的判断可以看到第一行是等于true的哪个 Rp就是等于window对象了如下：第三个来到第10行：执行了cq()函数我们直接看下cq函数的主体部分 A6 = [+!+[]] + [+[]] - [], E6 = +!+[], g6 = +[],

阿卡迈 Akamai 逆向分析

搞定 Python

09-09

2985

通过分析第二步获取的js代码，获得算法代码产生一个akamai_py.js 算法文件，这个文件会产生一个sensor_data，我们需要在请求中使用sensor_data来获取最终的可用js。根据第一次请求获取的_abck，ak_bmsc， bm_sz 发起第二次请求，第二次请求的url是第一次请求home.html返回信息里面有一串难读的字符见下面截图。在应用->cookie中我们看到了设置的_abck，ak_bmsc， bm_sz 值需要这三个，cookieDisclaimer不需要。

阿卡迈 Akamai 逆向分析2

搞定 Python

09-09

1336

所有代码调试完毕会在阿卡迈最终代码 “19 获取最后一个J8”

精选资源

akamai3.0js经过AST解混淆后的代码

07-13

Akamai 3.0 是一款专业的JavaScript代码混淆工具，它能够将代码转换成难以阅读和理解的形态，以此提高代码的安全性。然而，开发者和研究人员有时需要对这些混淆代码进行解析，以达到分析、调试或是去除不必要的混淆...

Akamai3.0反爬技术逆向分析与源码解析

本源码教程“akamai3.0反爬教程[源码]”正是针对这一最新防护体系所进行的深度逆向分析，旨在帮助开发者、安全研究人员及爬虫工程师理解并突破 Akamai 3.0 的核心防御逻辑。首先，标题中的“akamai3.0反爬教程...

akamai3.0参考版本

最新发布

11-27

从对话历史看，用户似乎在进行Akamai反爬机制的逆向分析工作，之前提到过补环境和纯算法实现的尝试。用户引用的资料都是关于Akamai 3.0技术细节的讨论，包括补环境方法、AST解混淆、参数生成逻辑等。用户可能遇到...

Akamai逆向分析.part2

LotusRain的博客

07-31

2011

JS代码结构检测机制分析本文分析了JS代码结构检测的实现逻辑。当修改后的JS代码替换回原文件时，出现未定义变量错误。通过跟踪调用栈发现，检测机制主要依赖于关键函数M2()["Hg"]的字符串结构，通过计算该函数体中特定字符串的位置和片段来生成验证值rg。检测逻辑包含三个关键部分：通过Y9()函数查找函数体中特定字符串"0xece2744"的位置使用d2()定位分号位置结合lx()获取函数字符串片段和window对象类型信息这些检测点都会因为代码结构调整而发

阿卡迈akamai逆向的一些个人经验说一说

m0_63368535的博客

03-02

1829

4 他的加密要把第一次请求拿到的_abck，ak_bmsc，bm_sz传入算法加密后第二次post请求就可以拿到返回带0的然后去进行请求搜索，就可以返回请求的结果，我下面的结果是过了阿卡迈后才提示的令牌过期，代表是过了阿卡迈了。1.之前很多人说akamai对指纹的要求很高，也许是有一些个站是这样吧，但大部分的站其实是一点不严的，而且是可以通用的，你在A网站搞定的可以在B网站跑，相当于别人说的通用版本！所以我马上拿过捷星得到0的阿卡迈去过酷航结果拿到0 后马上跑酷航的搜索，结果是出数据啦！

浅浅聊一下akamai逆向

m0_46639364的博客

02-12

2076

还有里面有很多的push，pop操作，是用来做函数执行检测的，akamai之前不适合补环境原因就在这里，但凡执行流程有点不一样，就会被push pop记录在案，所以在扣代码过程中所有的push pop代码都可以直接删掉，稍微看一下就能看出来，执行push pop的数组并没有在关键代码中使用到。后续的数据采集，都需要携带这个_abck，一般情况下，只有为0时才是校验通过的状态，_abck才是可用的cookie，如果跟第一次请求一样返回-1，就是校验不通过。是有上面的pMD拼接来的，而pMD又来自于SBD。

akamai逆向浅析

huangch135的博客

04-18

6788

akamai 阿卡迈逆向分析

akamai3.0逆向分析超详细过程（包含AST解混淆部分）

likemebee的博客

07-08

3102

目标网站：‘aHR0cHM6Ly93d3cuZGhsLmNvbS8=’解题方式分2种，第一补环境，第二，扣纯算，此处围绕第二种扣纯算的目的（不包含tls指纹部分）此处也是我一步一步学习解AST的过程，如有不正确之处或者有什么好的建议，欢迎各位大佬批评指出！文章有时间会一点一点写，同时会直接发布半成品，如果还是半成品请忽视。

Akamai逆向分析.part1

LotusRain的博客

07-29

2671

本文分析了Akamai反爬机制的关键特征，重点研究了POST请求中sensor_data参数的生成逻辑。通过追踪请求链路发现，验证过程会发送两次请求，第一次获取JS代码，第二次提交包含sensor_data的验证数据。研究定位到sensor_data由cKH对象格式化生成，该对象包含ver、fpt、fpc等多个参数，其中ver参数通过特定算法生成。分析表明，虽然部分参数会定期更新，但整体算法结构相对稳定，可通过算法还原实现验证。文章还提供了调试技巧，如通过拦截响应体固定JS逻辑、对比多份cKH对象变化等方法

Akamai阿卡迈_abck逆向sensor_data（一）