今天用极验来实验一波
极验是国内比较有名的身份验证,反爬虫的产品。其反爬虫的手段较多,大概分为: pencil、beeline、click、slide、voice 等多种验证方式,尤其Slide方式是基于大数据的智能行为验证,用户体验较好很得客户青睐,比如我要抢鞋的官网就是基于它来做用户登录的身份验证。
通过极验官网的文档,我们可以得知Geetest的大致交互流程如下图:
结合我抢鞋的接口,整理如下:
1. 获取验证ID及验证流水号t: 当前时间戳(毫秒)
响应内容:返回参数说明:gt: 验证id
challenge: 验证流水号
2. 获取验证素材资源gt: 之前接口返回的验证ID
响应内容:示例:
3. 获取验证的基本参数gt: 之前接口返回的验证ID
challenge: 之前接口返回的验证流水号
lang=zh-hk
pt=0
w=4A8S6ZFe9GO43hbI3exYdbebCvxWVtD38od3qc7tqtxxARm4HCI... (待分析)
callback=回调函数的方法名
响应内容:
4. 获取验证方式gt: 之前接口返回的验证ID
challenge: 之前接口返回的验证流水号
lang=zh-hk
pt=0
w=pxIvtqzNcdSbk0QJHeRBsozbYtm8519UAKjSyuCMk01J21VwEEWOlV... (待分析)
callback=回调函数的方法名
响应内容:
5. 获取验证素材信息gt: 之前接口返回的验证ID
challenge: 之前接口返回的验证流水号
lang=zh-hk
is_next=true
type=slide3
https=false
protocol=https://
offline=false
product=embed
isPC=true
width=100%
callback=回调函数的方法名
响应内容:响应参数说明:
6. 提交验证请求gt: 之前接口返回的验证ID
challenge: 第六步返回的验证流水号
lang=zh-hk
pt=0
w=cY71fua4Cuvs8Cyrf3rW(VzZHB)oSpARQMV65Dtg... (待分析)
响应内容:
7. 提交登录认证loginName: xxxxxxxx@qq.com
countryCode:
password=EJ2JjA3Rw32DrDMHI1Biu7+YKevYJhvU2EyllSQ... (加密后的密码待分析)
passwordAgain=EJ2JjA3Rw32DrDMHI1Biu7+YKevYJhvU2EyllSQ... (加密后的密码待分析)
rememberLoginName=checked
type
geetest_challenge=decd09d6c9f1bb219f7550cea8e18c01eb (第六步返回的验证流水号)
geetest_validate=545a86f1a2af6f09afc4d1abbb166679 (第七步返回的validate)
geetest_seccode=545a86f1a2af6f09afc4d1abbb166679|jordan (第七步返回的validate|jordan)
响应内容:
8. 验证流程整理
经测试不需要所有接口都模拟,比如直接指定验证方式为滑块验证,依次调用接口: 1 --> 3 --> 5 --> 6 --> 7 即可。Python学习群:827513319
至此,整个交互流程分析完毕,产生的问题如下:所有用于验证的代码都是混淆之后的,如何进行代码还原或者调试分析。
请求与返回的关键数据都是加密的后的字符串如上述3、4、6等接口中的W参数,如何解密。
原作者:besterChen
原出处(公众号)