【爬虫-反爬虫】系列一:反爬虫之签名(6)

最新推荐文章于 2024-08-08 08:33:30 发布
最新推荐文章于 2024-08-08 08:33:30 发布
阅读量5.5k 收藏 10
点赞数 2

反爬虫之签名(6)

本讲介绍的是一种比较麻烦的反爬虫策略:请求签名。


请求签名


请求签名指在请求url中增加一个sign字段,通常取值为自定义字段的md5校验码。


前面介绍的反爬虫策略基本上都有规律可寻,但签名很让人头疼,因为必须硬手段破解,也就是硬着头皮去调试代码,找出sign生成算法,然后再模拟该算法生成合法请求进行数据爬取。


针对这种加密,网页版还好说,毕竟js代码可以查阅与调试,只是非常麻烦。但在app中就非常麻烦了,涉及到反编译工程。


举例-app请求sign


打开手机app,使用Fiddler作为代理进行数据包抓取,如下图所示:




看到这里你应该明白,app请求也不是无法捕获,关键还是看其是否使用了http协议上图是一个app的http请求,图中body部分是post请求体,颜色加深部分就是sign字段,也是今天的主题。


如果你看到请求querystring或post body中存在sign字段,那么心里就应该疙瘩一下,因为抓取难度会上升很多。


下图展示的是sign字段的一个常规生成算法



基本规则都是组装字符串,然后md5加密。


常规方法


到目前为止,sign加密应该算是最麻烦的反爬虫手段,尤其是app请求的sign加密,列出一些我对网页版和app版的sign破解看法。


网页版


sign算法一般隐藏在js代码中,所以需要调试js代码。不用说,js代码肯定是格式化的,所以你能看到的基本就是a,b,c,d这类变量。


破解方法一般分为两步:


  1. 找到发出请求的地方。


  2. 使用浏览器调试该部分的相关变量。


最后能不能找出来就看个人动手能力了。


app版


难度高低不一,对于安全措施较高的app,会进行app代码本身进行安全性校验,所以很难反编译后再修改代码进行调试。不过依旧可以反编译得到源码,进行源码阅读,但由于难以调试,所以难度非常大。


关于app的反编译,可以在网上搜到具体方法,此处就不赘述了。


zeng_working
关注
【JS逆向--签名验证爬虫】sign签名验证破解实现方式
赖德发的博客
02-26 1703
目标: 爬取http://www.porters.vip/verify/sign/ 详情公告 点击network ,分析网络请求,发现一个http://www.porters.vip/verify/sign/fet?actions=34416&tim=1645886772&randstr=LSUBB&sign=bdbe0235918f5a6b54351915a8edf741 这个链接有我们想要的内容 这个url 是一个get请求,包含4个参数。其中action 看起来是5个
爬虫】JS逆向解决爬问题系列3—sign破解
weixin_42108731的博客
12-23 1991
JS逆向解决爬问题系列3—sign破解
爬虫之API签名问题
miner_zhu的博客
07-31 4306
为什么需要签名 在外部用户访问开放的api接口中,用户请求服务器的时候,会遇到以下问题: 请求身份是否合法 请求参数是否被篡改 请求的唯一性 为了保证数据在通信时的安全性,我们可以采用参数签名的方式来进行相关验证。 使用数据签名(常用Md5算法) 1.给app分配对应的key、secret 2.Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下:      a. 按照...
小红书爬虫(xhs)使用教程
最新发布
gitblog_00121的博客
08-08 2990
小红书爬虫(xhs)使用教程 xhs基于小红书 Web 端进行的请求封装。https://reajason.github.io/xhs/项目地址:https://gitcode.com/gh_mirrors/xh/xhs 1. 项目介绍 xhs 是一个用于从小红书网站提取数据的爬虫工具,基于Python编写。该项目通过封装网络请求,提供了方便的数据抓取接口。它遵循MIT许可证,并在GitHub上...
002笔记【签名验证爬虫原理和实现】
m0_48683643的博客
10-31 483
一.签名爬虫:  签名是根据数据源进行计算或加密的过程,签名的结果是一个具有唯一性和一致性的字符串。签名结果的特性成为数据来源和数据完整的条件,可以有效避免服务器端将伪造的数据或被篡改的数据当成正常数据处理。 二.案例分析 (1).准备工作:  网址:http://www.porters.vip/verify/sign  任务:爬取旅游公告页面详情信息 (2).分析:  点击‘点击查看详情’,就是公告详情   按F12,查看NetWork,分析数据从什么地方读取的。 (其中md5.js和sign.j
美团外卖系app最新版爬虫mtgsig3.0签名算法解析思路
m0_57428073的博客
05-13 2615
0x011. 解密PIC数据获取KEY(a9) 解析json获取a3:0a16ecd60eb56a6a3349f66cdcf7f7bf5190e5a42d6280d8dc0ee3be228398ec a3为AES KEY解密a9解密后数据。0x001. APP每一个业务网络请求的请求头中都有mtgsig参数,该参数是请求体与其它参数计算的签名值。0x010.获取xid (设备指纹)判断本地是否有存储,如果有优先读取本地,如果无谢java层从服务器端获取,APP第一次运行进就用UUID与时间加密生成一个.
Python爬虫实战——逆向破解签名爬虫(有道词典)
爱吃辣椒的锅包肉
03-05 1551
签名验证爬虫简介 签名是根据数据源进行计算或加密过程,签名的结果是一个具有唯一性和一致性的字符串。签名结果的特征使得它成为验证数据来源和数据完整性条件,可以有效避免服务器端将伪造的数据或篡改的数据当成正常数据处理。 签名验证是防止恶意连接和数据被篡改的有效方式之一,也是目前后端API最常用的防护手段之一。 逆向分析步骤 打开浏览器并访问 有道翻译 网页分析 在没有输入翻译内容之前,网页端是不会出现这些数据的,只有通过用户输入之后,才会出现翻译的内容。因此,判断这些翻译数据是通过异步加载出来的。 接下
爬虫爬虫对抗】从爬虫防护手段与原理深度分析
吴秋霖的博客
11-09 7516
多年爬虫领域老工程师深度总结爬虫技术原理与场景,带你快速了解并掌握爬虫技术栈知识
用python3 urllib破解有道翻译爬虫机制详解
09-18
有道翻译网站作为网易旗下的翻译服务,为了防止自动化脚本对其服务进行滥用,实现了一系列爬虫策略。本文将详细介绍如何使用Python3的urllib库来模拟正常用户的请求,绕过这些策略。 在使用Python3进行爬虫开发...
基于spring-boot开发的分布式系统的爬虫、防接口盗刷组件。.zip
04-08
【标题】中的“基于spring-boot开发的分布式系统的爬虫、防接口盗刷组件”指的是一个使用Spring Boot框架构建的,旨在防止恶意爬虫和非法接口盗刷的系统。Spring Boot是Java领域的一个轻量级框架,它简化了创建...
签名验证爬,爬第二篇博客,Python爬虫120例
热门推荐
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
12-02 2万+
本篇博客继续为大家带来爬虫爬技术学习,签名验证。 在上一篇博客,咱们学习的爬验证信息,是存储在 请求头域 中的信息,签名验证一般在请求体(请求正文)中,服务器接收到对应的字段,并对其来源和合理性进行验证,然后判断是否返回正确数据。 如何判断签名验证 关键字 sign,一般在请求中发现有这个参数,或者与其相关的参数,都可以猜测其为签名验证,即服务器端验证该参数传递到后台的值的合法性,决定是否返回结果。
爬虫文件
09-18
在爬取网站时,网站可能会有爬虫机制,使得你的权限不够,返回的值为400,加入我的这个爬虫文件就可以完美解决与爬取的网站链接不上的问题
爬虫App 爬虫(一)
GitHub质检员
10-10 4101
爬虫分类——数据来源1、PC 端爬虫(网页端爬虫)找数据接口(requests,scrapy等)selenium2、APP爬虫找数据接口获取数据接口——fiddler获取 APP 与服务器进行交互的数据包——模拟器appium1、界面展示2、快捷功能区1:给会话添加备注信息2:重新加载当前会话3:删除会话选项4:放行,和断点对应5:响应模式,当 fiddler 拿到远程的 response 后是缓存起来一次响应给客户端还是以 stream 的方式直接响应。
关于爬虫,看这一篇就够了
大模型研究中心
10-20 903
因为爬虫暂时是个较新的领域,因此有些定义要自己下。我们内部定义是这样的:爬虫:使用任何技术手段,批量获取网站信息的一种方式。关键在于批量。爬虫:使用任何技术手段,阻止别人批量获取自己网站信息的一种方式。关键也在于批量。误伤:在爬虫的过程中,错误的将普通用户识别为爬虫。误伤率高的爬虫策略,效果再好也不能用。拦截:成功地阻止爬虫访问。这里会有拦截率的概念。通常来说,拦截率越高的爬虫策略,误伤的可能性就越高。因此需要做个权衡。资源:机器成本与人力成本的总和。
工程点点app爬虫和sign算法破解
成小新的博客
09-07 2345
这世界真的什么人都有,哎,继续分析。通过对工程点点的逆向和抓包分析,发现工程点点需要x-sign和token验证。 这些代理可以很清楚的看到token和sign是怎么来的,不具体多说。这个token使用的是usertoken,usertoken怎么获取呢??自己分析登录接口就行了。那么sign怎么来的呢??很明显md5,具体是怎么做的呢,涉及到该公司的利益,不能过多透露,正是对请求参数进行某...
JS逆向-sig、sign请求参数加密爬(案例:红人点集)
Hamsung
01-19 1834
JS逆向-sig、sign请求参数加密爬(案例:红人点集)
【python爬虫逆向】某团h5的Mtgsig1.1分析
weixin_43459158的博客
05-06 1785
把H5guard.js里所有的代码都复制出来放到本地,然后加上上面的补环境代码,自己写个调用initWithKey和sign的代码后,在node下一运行。因为sign是异步的,最简单的调用方法还是写成node接口来调用,不然一不小心就会绕进死胡同。补环境的话还算简单,跟纯算的话,需要点耐心,但整体也不是特别难,最好能ast解混淆后分析,会更轻松一点。扫了一眼网站源代码,然后看了看加载的js,发现了可疑的代码。这样就结束了,调用接口,传入sign需要的参数就能得到Mtgsig的值了。
不止是签名验证(sign)爬虫
成都_杨洋
04-01 3120
签名验证爬虫 签名是根据数据源进行计算或加密的过程,签名的结果是一个具有唯一性和一致性的字符串。签名结果的特征使得它成为验证数据来源和数据完整性的条件,可以有效避免服务器端将伪造的数据或篡改的数据当成正常数据处理。 签名验证时防止恶意连接和数据被篡改的有效方式之一,也是目前后端API最常见的防护方式之一。与Cookie,User-Aget,Host和Referer等请求头域不同,用于签名验证的信...
签名验证爬虫的原理和绕过方法
weixin_48340904的博客
08-22 1747
大家好,我是志斌~ 今天来给大家介绍一下信息校验型爬虫中的另外一种爬虫签名验证爬虫签名验证是防止服务器被恶意链接和篡改数据的有效方式之一,也是目前后端API最常用的防护方式之一。 一、定义 签名是一个根据数据源进行计算或者加密的过程,用户经过签名后会一个具有一致性和唯一性的字符串,它就是你访问服务器的身份象征。由它的一致性和唯一性这两种特性,从而可以有效的避免服务器端,将伪造的数据或被篡改的数据当初正常数据处理。 用于签名验证的信息通常被放在请求正文中发送到服务器端。如下图所示: 二、原理 签名
Python实现的爬虫策略:网站防护与数据抓取实践
论文的重点在于分享爬虫策略的设计方法和实践经验,包括如何在代码层面实现各种爬虫技术,以及如何评估和优化爬虫系统的性能。通过这样的研究,不仅有助于提升网站的安全性,还能为其他开发者提供应对爬虫挑战...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值