目录
一、某盾难点
- 本次测试网址: 点击链接
明明打了断点为何再次刷新定位不到?
那是因为刷新后js文件名变了,可重新打断点,再次刷新试试;或者直接把源网页的js文件copy下来,通过fiddler每次都替换成相同的js文件- validate为空原因主要原因did参数无效,did无效会导致actoken无效,和fp、轨迹没有任何关系,b请求可做可不做,但未批量测试,只是简单研究;但如果你把actoken写死,仍然没通过,说明你的代码流程有问题,先放开d请求js研究看代码流程问题
- 我理解的无感是actoken为空值参考官网,但实际上的无感知是指真正的人为操作,不会触发高级的验证码(如滑块、点选),只需要点下按钮就通过了,而如果是可疑用户则可能触发(滑块、点选等)
- 点选验证码和滑块是同一个分析逻辑,过了滑块基本点选也没啥问题,可以先研究点选,滑块的did有时候会出现第一次不通过,但后面会一直通过,多测试几次
- 注意一些js加密参数时间戳的问题,如d请求的加密参数d有加密时间戳,而响应也有时间戳,中间的速度过快是否也会影响校验失败也需要考虑
1、请求包流程
- "d请求"响应参数是后续actoken加密参数之一,js涉及检查浏览器的指纹、请