南方航空阿里v2滑块验证码逆向分析思路学习

已于 2024-07-04 14:54:24 修改
阅读量1.4k 收藏 18
点赞数 20
文章标签: 学习
于 2024-07-04 14:51:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y662225dd/article/details/140178182
版权

目录

一、声明!       

二、介绍

三、请求流程分析:

        1.拿验证码

        2.提交第一次设备信息

        3.提交第二次设备信息

        4.提交验证                     ​编辑

四、接口响应数据分析:

        1.拿验证码

        2.提交第一次设备信息

        3.提交第二次设备信息

        4.提交验证

五、接口参数分析:

        1.拿验证码

        2.提交第一次设备信息

        3.提交第二次设备信息

        4.提交验证

六、加密参数位置分析:

        1.SignatureNonce、Signature

        2.Data

七、结果展示

一、声明!       

原创文章,请勿转载!

本文内容仅限于安全研究,不公开具体源码。维护网络安全,人人有责。

        本文章中所有内容仅供学习交流使用,不用于其他任何目的,均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。
        本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除,请各位自觉遵守相关法律法规。

二、介绍

        阿里v2验证码是阿里云推出的新一代验证码产品,广泛地应用在账号注册、短信发送、票务预订、信息查询、免费下载、论坛发帖、在线投票等交互模块,通过简单、安全、多样的交互逻辑,提供区分机器脚本和自然人的验证服务,能够缓解及防止计算机程序模拟人类用户来滥用网络资源,在提升网站资源不被恶意程序访问的防御能力的同时,保持真实的用户体验。

        当前文章中的验证码如下:

                                

        验证码业务流程:

三、请求流程分析:

        1.拿验证码

        2.提交第一次设备信息

        

        3.提交第二次设备信息

        4.提交验证                     

四、接口响应数据分析:

        1.拿验证码

                (1)CeryifyId和DeviceConfig为校验接口需要的参数。

                (2)Code为Success说明我们验证码获取成功。

        

        2.提交第一次设备信息

                (1)Code为200说设备信息提交成功

                                

        3.提交第二次设备信息

                (1)Code为200说明设备信息提交成功。

                                

        4.提交验证

                (1)VerifyCode为"F001"说明我们传递的参数错误了。

                

                (2)VerifyCode为"T001"就表示验证码校验通过。

                

五、接口参数分析:

        1.拿验证码

                (1)固定参数:UserUserId、UserId、DeviceData

                                

                (2)动态参数:Timestamp、SignatureNonce、Signature

                        

        2.提交第一次设备信息

                (1)动态参数:Data、SignatureNonce、Signature

        3.提交第二次设备信息

                (1)动态参数:Data、SignatureNonce、Signature

        4.提交验证

                (1)动态参数:Timestamp、CertifyId、CaptchaVerifyParam、SignatureNonce、Signature

六、加密参数位置分析:

        1.SignatureNonce、Signature

                (1)SignatureNonce          

                (2)Signature就在下一行

                        

        2.Data

                (1)生成位置17781行(js会更新,搜索比较固定的代码就可以找到),在这边Data

生成后不久,慢慢跟栈就到其他参数的生成位置了。                

                (2)赋值位置

                        

        (3)主要:这个data生成主要是由轨迹生成的,所以轨迹也需要处理。

        

七、结果展示

创作不易求个赞再走~~~

学习交流QQ:450297392

一本杂志
关注
  • 20
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
数美滑块的js逆向分析
shanf7921的博客
08-11 3万+
数美验证码的js逆向分析,通过分析数美滑块类型的验证阐述了验证各个参数的定位方式、加密算法;文章最后同样给出数美文字点选、数美图标点选、数美语序点选、数美空间推理的验证通过示例。
阿里系cookie之acw_sc__v2 逆向分析
自成背后的博客
06-01 1977
阿里系cookie之acw_sc__v2 逆向分析
阿里系227滑块js逆向记录
2201_75967105的博客
01-25 5406
最后n值的生成是最关键的,也是最难的部分。我们可以看到这个接口总共有5个参数slidedata、x5secdata、ppt、landscape、ts、v值组成,其中ts为当前时间戳,其他几个参数基本上可以固定,可以由其他接口返回,主要看的是slidedata这个参数。所以鼠标轨迹list要构建好,通过addEventListener将鼠标事件导出,for循环传入鼠标事件参数。只要你补环境到位了,生成的227长度也差不多,最后再构建请求返回成功得到x5sec值,就大功告成!p值我们可以固定,也可以手动生成。
阿里云人机认证】:React + SpringBoot阿里云人机认证(滑块,图形等)
qq_53690996的博客
07-24 997
下载下来打开,里面有两个demo,分为弹出和嵌入的,已经封装好了两个组件,将自己选择好的组件的index.js复制到自己项目里(创建一个.js文件就好,然后导入到自己需要用到的页面里)大家看着阿里的实例都是纯原生的如何加到react里有点懵逼,我也蒙蔽,所以在阿里云文档最下面有一个react的案例,下载下来,解压打开。4.7人机认证实现时候,如果认证通过则会有后续相关的操作可以在如下地方修改,比如修改全局变量。购买服务后进入控制台,点击控制台左侧的控制管理,进入控制管理界面之后选择构建新的场景。
阿里系 acw_sc__v3 滑块 南方航空 分析
ff2766958292的博客
08-08 933
南方航空阿里、 acw_sc__v3、 滑块南方航空
阿里V2缺口图-滑块验证码逆向分析思路学习
最新发布
学习交流Q群:450297392
08-14 1076
南方航空阿里v2滑块验证码逆向分析思路学习-CSDN博客。
某盾滑块js逆向
活捉一只小菜鸟的博客
07-11 3506
某盾滑块,详解d请求和b请求的作用
【ali滑块】227逆向思路分享
weixin_44862184的博客
12-22 6004
最近某里滑块更新到了227版本,借此机会简单分享下逆向思路。(水文一篇)
使用阿里滑块验证
string佳佳的博客
12-18 7287
注意:id一定要使用nc。我试过换成其他id,是不行的。 <div id="nc" style="margin-top: 30px"></div> <script src="https://g.alicdn.com/AWSC/AWSC/awsc.js"></script><!--阿里滑块验证--> <script> AWSC.use("nc", function (state, module) { // 初始化
阿里系网站登录的滑块验证
joy1793的博客
10-22 2811
event = document.createEvent('MouseEvents'); event.initEvent('mousedown', true, false); document.querySelector("#nc_1_n1z").dispatchEvent(event); event = document.createEvent('MouseEvents'); event.initEvent('mousemove', true, false); Object.defineProperty(
阿里淘系滑块验证码x5sec逆向分析
qq_17776197的博客
06-08 1141
今天在爬tb数据的时候 发现老是会触发一个滑块验证,只要过了这个滑块滑块返回的x5secdata 的cookie 带到请求参数里面去 就能完美避开了,然后去抓了下滑块的包,过了这个滑块拿到cookie就能 访问阿里一直获取数据了。目前x5sec滑块已搞定, 有遇到问题的小伙伴可以加企鹅=/阿里淘系滑块验证码x5sec逆向分析
jQuery阿里云登录滑块拖动验证
10-18
jQuery阿里云登录滑块拖动验证是一款网站常用的登陆框滑块拖动验证登录代码。
ks滑块验证码逆向分析与python识别
吴秋霖的博客
07-27 2328
最新KS滑块验证码逆向流程分析、包含Python识别代码、轨迹详情与算法细节
京东滑块验证逆向分析与算法还原
吴秋霖的博客
04-05 3682
京东滑块参数逆向分析与算法还原!协议过滑块验证爬虫必备技能~
最新xhs旋转滑块验证码分析(含识别与轨迹算法)
吴秋霖的博客
06-03 3108
旋转滑块验证码纯算法+协议过!高通过率含流程分析
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析
热门推荐
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
ali滑块 无痕
weixin_42143145的博客
12-01 283
将代码扣下来,ast后,补环境就能用node调用,但是轨迹有些麻烦,随机的话过不了多久就g。官网还有2.0新版本,新增语义推理,目前没遇到相关站,有人遇到可以在评论区留言。140为旧版本,云盾官网有demo。22x为新版本,某宝检测更加严格。
逆向破解阿里226滑块
jinitamimei的博客
12-01 2637
感谢大家的支持和等待,这是我破解成功的截图,纯js逆向,环境补了900多行,不过226打了补丁,之前添加末尾轨迹只能用10次,所以还要研究轨迹生成
阿里滑块验证码版本227版本破解(3)
htia的专栏
12-26 3493
这是一个手动分析记录,考虑到这样的操作劳心费力,所以改成程序自动破解。故本文档不完整,分享给兄弟们作为参考,其中的破解代码已经验证过,可以直接拷贝粘贴用。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值