爬虫逆向学习(一):详解某翻译平台cookie和签名参数生成

原创 已于 2022-04-28 20:10:27 修改 · 2.9k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #node #js

于 2022-04-23 17:58:18 首次发布

某翻译平台cookie和签名参数逆向破解

前文

第一次写这么长的文章,语言组织可能有些不流畅,如果有什么不合理的地方请指出。
此分享只用于学习用途,不作商业用途,若有冒犯,请联系处理

逆向参数的分析流程

  1. 分析请求,找到参数
  2. 定位参数(搜索参数名,XHR断点,HOOk)
  3. 分析参数
  4. 补全构造代码

案例场景

我们用无痕模式打开谷歌浏览器,输入打开目标网址,然后打开开发者模式,输入需要翻译的内容。
在这里插入图片描述
我们只看异步请求的包,通过上图我们可以在不断输入内容时,浏览器会根据输入内容实时响应翻译结果,而图片中红线框的这个请求就是我们要学习的目标接口。

请求参数研究

我们随便点击一个请求看这个请求的参数相关信息
在这里插入图片描述
第一眼看这些参数我们可以明确一点就是smartresultfromtoclientdoctypeversionkeyfrom这几个参数时固定的;而i是我们输入的内容,这个也是可以构造的;action有两种值,一种是网站实时翻译类型FY_BY_REALTlME,另一种是点击按钮触发的翻译类型FY_BY_CLICKBUTTION;剩下saltsignltsbv这四个参数是不固定的,根据saltlts的数据格式可以判断这两个值跟时间戳有关,理论上只要找到这四个参数的生成规则我们就可以构造所有必要参数了。

我们再点击一下翻译按钮,看看还是用人生苦短,我用python翻译的请求参数有啥不同,对比发现saltsignlts这三个参数发生了变化,可以判定这三个参数是会随着请求重新构造生成的;而bv这个参数不变判定要么是网站在某个地方写死了值,要么是两次请求中传入的某些东西是不变的所以这个值也不变,回顾我们进行的两次请求,发现真正不变的内容就是我们输入的翻译内容,我们可以输入其它内容看看bv这个参数会不会变化。
在这里插入图片描述
通过上图可以确定bv跟输入内容无关,到这里我们可以确定saltsignltsbv这四个参数需要我们去逆向找到生成逻辑。

cookie研究

要想知道一个请求需不要cookie,只要请求时请求头不传入cookie,看看能不能正常响应拿到数据即可。
我们可以把这个网址的cookie信息全部清空,再次请求一次看看它的响应内容
在这里插入图片描述
进入全部请求内容,可以看到在没有cookie时第一个请求的就是我们的目标接口,看这个接口的请求头信息可以看到是有cookie信息的,而这个接口请求前面没有其它的请求,所以可以确定这个cookie信息不是由后端接口请求返回的,而是在接口请求前构造生成设置的,这样就确定了我们需要逆向找到cookie生成逻辑。

这样我们就明确了这个案例反爬的方式和反反爬的方向了,下面开始分享我的破解思路。

逆向破解

请求参数逆向破解思路流程

定位参数

XHR提取断点

在案例场景中我们已经分析并找到需要逆向的参数了,接下来我们需要定位到参数的逆向位置。由于目标网址translate_o?smartresult=dict&smartresult=rule是xhr异步请求,我们可以直接设置XHR提取断点
在这里插入图片描述
按上图设置好xhr断点后点击翻译按钮,就会进入debugger模式
在这里插入图片描述
上图这个代码格式不方便阅读,我们可以点击图片左下方{}进行代码格式化,格式化后会定位到发起xhr请求的位置,打上断点并执行下一步
在这里插入图片描述
可惜的是执行下一步后请求的执行结束了,可以确定无法通过XHR断点模式确定参数生成位置。

请求调用堆栈

通过查看请求调用堆栈我们可以知道这个请求的调用过程,其中send调用位置就是我们通过XHR断

最低0.47元/天 解锁文章
Python爬虫:搜狗翻译详解(代码可直接运行)
数据知道的博客
06-22 9241
本文介绍了如何通过Python爬虫调用搜狗翻译API。首先通过抓包分析发现翻译请求需传加密参数s(MD5加密)动态cookie中的FQV值。FQV可通过请求首页获取,加密参数由固定字符串拼接原文生成
JS逆向实战:福建交易平台签名解析
最新发布
码出全栈
08-11 1577
本文详细解析了福建公共资源交易平台的数据逆向过程。通过抓包分析发现请求签名采用MD5加密算法,签名生成过程包括参数清理、排序拼接、添加固定密钥后MD5哈希。响应数据采用Base64编码AES-128-CBC加密,需通过特定密钥IV进行解密。文章提供了完整的Python实现代码,包括签名生成、请求发送、数据解密全过程,最终成功获取结构化交易数据。该案例展示了网站反爬机制的逆向思路实现方法,为类似平台逆向分析提供了参考。
Hook+jsdom 解决cookie逆向
老鹰的博客
11-23 1968
前言 记录下如何破cookie逆向 目标 目标网址:https://q.10jqka.com.cn/ 目标接口:http://q.10jqka.com.cn/index/index/board/all/field/zdf/order/desc/page/2/ajax/1/ 对抗:cookie爬虫处理,关键字v,如图 解决步骤 1、JS中关键字查找 如上,我们找到了关键字 v,那么接下来就用hook搜查 点击F12,打开 开发者工具,选择Console直接输入hook代码 (function () {
[007]爬虫系列 | 信息校验型反爬 - 通过Hook找出Cookie生成位置 - 某度为例
GC怪兽的Blog
08-05 1258
、背景 有些时候会遇见Cookie反爬【特指:CookieJS结合,客户端生成Cookie,服务器端验证Cookie】。有些时候直接通过search无法找到具体位置【被混淆或者查询结果太多!!如:图1.1】。 图1.1 我们该如何快速找到生成位置?!!! Hook! 下面是我通过油猴写的段Hook! 二、代码 // ==UserScript== // @name baidu // @namespace ...
逆向爬虫进阶实战:突破反爬虫机制,实现数据抓取
zhangxia_的博客
12-06 1万+
逆向爬虫进阶实战是项具有挑战性实用性的技术。通过对网站结构、加密算法、验证码识别等方面进行深入研究探索,我们可以突破各种反爬虫机制的限制,实现对目标网站的深入分析抓取。未来随着网络技术的不断发展,逆向爬虫技术也将不断进步完善为我们的生活工作带来更多的便利可能性。本书以爬虫逆向方向的相关技术岗位要求进行撰写,总结了爬虫的架构体系、主流框架未来发展。书中包括各种自动化工具、抓包工具、逆向工具的使用。
关于逆向爬虫
doiido的专栏
03-20 2873
逆向爬虫是指对抗爬虫种技术手段。通常情况下,网站会通过些机制来限制爬虫的访问,例如验证码、IP封禁、请求频率限制等。逆向爬虫就是通过分析这些限制机制,找到对应的解决方案,绕过网站的限制,实现对数据的获取。
爬虫技术之食物链顶端——逆向
weixin_42078618的博客
10-11 7871
爬虫引言 距离最近次博客的更新,已经快半年了。这么久直没写博客,是因为最近半年在跟几个小伙伴打造个tiktok的数据平台,乐不思蜀。今天抽空特意记录分享下我认为的爬虫技术的顶端——逆向。这里的逆向主要是指app逆向,这里的app逆向又主要是指安卓的。至于原因,咱们待会聊。 再次回归到爬虫技术,方面是因为,在这信息爆炸的时代,信息的抽取、分析总结是项非常重要的技能。另方面,虽然之前直热衷于dnn算法领域的探索,后来才意识到,神经网络算法的落地,定...
小白也能懂:逆向分析某网站加速乐Cookie参数流程详解
互联网架构小马的博客
07-01 2212
加速乐采用了系列的高级反爬虫技术,包括OB混淆、动态加密算法多层Cookie获取,以确保整体校验的严密性。关键校验字段位于Cookie中的。其验证过程通常涉及三次关键的请求首次请求:当用户首次尝试访问目标网站时,服务器会返回个特殊的521状态码,其响应数据通过AAEncode技术进行混淆处理,以初步筛选访问者。二次请求:紧接着的第二次请求中,如果服务器继续检测到可疑行为,它会再次返回521状态码,但这次响应数据将采用更为复杂的OB混淆,进步验证访问者的身份。三次请求。
爬虫:HTTP 基本原理详解
数据知道的博客
03-03 7562
Scrapy-Redis 是 Scrapy 的个扩展库,使用 Redis 作为任务队列去重过滤器。它支持分布式爬虫,允许多个爬虫实例共享同个任务队列。# 可以根据实际需求添加更多字段Scrapy-Redis 是个强大的分布式爬虫工具,能够显著提高爬取效率。通过 Redis 实现任务调度去重,支持多台机器协同工作。在实际项目中,可以根据需求调整配置扩展功能。
JS逆向---cookie爬虫系列(阿里系逆向-实战解析)
m0_52336378的博客
10-18 4713
Cookie爬虫指的是服务器端通过校验请求头中的 Cookie 值来区分正常用户爬虫程序的手段,这种手段被广泛应用在 Web 应用中。这次主要是对各类cookie值加密的网站情况进行分析学习响应cookiesession的处理学习基于首页返回的cookie值声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途非法用途,否则由此产生的切后果均与作者无关。
关于爬虫如何做js逆向的思路
04-26
阿里云资料ppt讲解介绍 来越的的公司注重数据,如何断绝他人独立网站数据是如今互联网公司的个主题。js加密作为爬虫个绕不过的关卡,如何更加有效率的破解加密参数,相信这节课会给你个大概的思路。
爬虫逆向Cookie 加密详解
m0_57836225的博客
09-30 1951
爬虫逆向的过程中,Cookie 的加密处理是个常见的难题。本文将根据视频内容,详细介绍 Cookie 的几种常见类型及处理方法,并结合代码进行讲解。
爬虫逆向学习(十五):Akamai 3.0反爬分析与sensor-data算法逆向经验
九月镇灵将的博客
01-14 8785
细讲Akamai 3.0反爬分析与sensor-data算法逆向经验
这也敢爬,你离牢饭不远了,爬虫逆向实战案例
热门推荐
喜欢Python编程的程序员柚柚呀
01-11 1万+
这也敢爬,你离牢饭不远了,爬虫逆向实战案例
爬虫逆向必备js语法基础与js反爬原理---视频合集(持续更新)
棒棒编程修炼场
10-14 468
1. 爬虫逆向必备js语法基础与js反爬原理 --js 基础三元表达式 2. 爬虫逆向必备js语法基础与js反爬原理 --js 基础位操作符
爬虫篇:动态网页的处理方式(上)——逆向工程
lin
05-15 1万+
每篇句: A man is not old as long as he is seeking something. A man is not old until regrets take the place of dreams. 动态网页简介: 在我们编写爬虫时,可能会碰到以下两种问题: 我们所需要爬取的数据在网页源代码中并不存在; 点击下页跳转页面时,网页的URL 并没...
学习心得】爬虫逆向的小技巧小知识(持续更新)
2401_84139610的博客
04-26 807
书籍的好处就在于权威体系健全,刚开始学习的时候你可以只看视频或者听某个人讲课,但等你学完之后,你觉得你掌握了,这时候建议还是得去看下书籍,看权威技术书籍也是每个程序员必经之路。Python所有方向路线就是把Python常用的技术点做整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。成为Python程序员专家或许需要花费数年时间,但是打下坚实的基础只要几周就可以,如果你按照我提供的学习路线以及资料有意识地去实践,你就有很大可能成功!
爬虫逆向网站案例
m0_74972727的博客
03-05 2053
【代码】爬虫逆向网站案例。
JS逆向案例】某加速乐cookie逆向分析
m0_70423491的博客
11-12 1902
JS逆向案例】某加速乐cookie逆向分析,__jsl_clearance_s逆向,AAEncode混淆,OB混淆,sha1,sha256,MD5算法
Shopee接口签名参数生成与稳定采集方案详解
总之,“Shopee签名分析[代码]”所涵盖的知识点不仅局限于某个单参数的解析,更是整套关于API安全通信、动态签名生成、反爬虫对抗策略的综合性技术实践体系,具有极高的学习价值与应用前景。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

九月镇灵将

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值