爬虫逆向学习(十一):实战分享反爬机制快速定位与破解

已于 2025-01-02 16:10:44 修改
阅读量1.1k 收藏 11
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 逆向与架构 文章标签: 爬虫 学习 python 逆向 破解
于 2024-10-16 10:16:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845191/article/details/142950294

此分享只用于学习用途,不作商业用途,若有冒犯,请联系处理

实战分享反爬机制快速定位与破解

反爬前置信息

站点:aHR0cHM6Ly9jenFqZC5qc3p3ZncuZ292LmNuL2tkY3B1YXBvcnRhbC8jLw==
接口:/kong/InnerGateway/kdcpua/lib/project/publicity

反爬机制定位

在抓取某个站点时,我们需要找到目标接口,然后确定目标接口所使用的反爬机制,常见反爬机制有cookie请求头签名校验等,只有找到它所使用的反爬机制我们才能对点下药。

找到对应的接口,右键复制其cUrl,然后使用爬虫工具库将其转成python requests代码,这样便于我们快速进入调试定位反爬机制
在这里插入图片描述
在这里插入图片描述

可以看到它只存在两个变量,就是cookie请求头,接下来使用控制变量法,结果如下:

  1. 请求传入headers,传入cookie,请求成功
  2. 请求不传入headers,传入cookie,请求失败
  3. 请求传入headers,不传入cookie,请求成功
  4. 请求不传入headers,不传入cookie,请求成功

根据结果确定它的反爬机制只有请求头

大家看下,红色横线对应的那些请求头不会是检测点,而像AcceptAccept-LanguageRefererUser-Agent都是可以写死的,大家可能会说User-Agent也是反爬机制,User-Agent确实可以反爬,不过它的反爬机制对应的是采集频率,我们现在是请求请求前的反爬
在这里插入图片描述

剔除这些后,剩下的AuthorizationTokenx-date就很明显是动态生成且容易作为检测点了,这里Token不需要关注,我们测试一下Authorizationx-date,结果如下:

  1. 保留Authorization,保留Token,请求成功
  2. 保留Authorization,不保留Token,请求失败
  3. 不保留Authorization,保留Token,请求失败
  4. 不保留Authorization,不保留Token,请求失败

结果两次测试结果可以确定AuthorizationToken是检测点且两者之间存在关系。通过这种方法我们最终确定了接口的反爬机制,接下来就是如何破解它了。

逆向研究

这个站点没有特别的混淆,全局搜索x-date直接锁定关键代码位置,它是一个原生的hmac-sha256加密,加密文本就是x-datex-date是UTC时间字符串
在这里插入图片描述

算法破解

import base64
import hashlib
import hmac
from datetime import datetime

import requests


def get_hmac_authorization():
    hit_time = datetime.utcnow().strftime('%a, %d %b %Y %H:%M:%S GMT')
    key = '1S7JzAkstxUV1g51IB22otDrwRkFxRJ3'.encode()
    message = 'x-date: {}'.format(hit_time).encode()
    hmac_sha256 = hmac.new(key, message, digestmod=hashlib.sha256)
    hmac_digest = hmac_sha256.digest()
    encrypt_result = base64.b64encode(hmac_digest).decode()
    return {
        'Authorization': 'hmac username="kdcpua", algorithm="hmac-sha256", headers="x-date", signature="{}"'.format(
            encrypt_result),
        'x-date': hit_time,
    }


headers = {
    "Accept": "*/*",
    "Accept-Language": "zh-CN,zh;q=0.9",
    "Origin": "Origin",
    "Referer": "Referer",
    "Token": "undefined undefined",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36",
}
headers.update(get_hmac_authorization())
url = "url "
response = requests.post(url, headers=headers)

print(response.text)
Python爬虫实战:研究加密参数的定位方法,实现逆向解密
ylfhpy的博客
05-16 1811
然而,随着互联网安全防护意识的增强,网站普遍采用加密技术保护数据接口,如请求参数加密、会话验证、动态令牌等,这使得传统爬虫技术面临巨大挑战。常见加密算法包括对称加密(如 AES、DES)、非对称加密(如 RSA)、哈希算法(如 MD5、SHA)等,其目的是防止参数被篡改或数据被非法获取。JavaScript 逆向分析是指通过调试、编译和代码审计等手段,解析前端 JavaScript 代码中加密算法的实现逻辑,提取加密密钥、盐值和算法参数。在爬虫领域,逆向工程主要用于破解网站加密算法和参数生成逻辑。
爬虫-请求头中需要注意的(特殊的X-Requested-With)
cyz52的博客
03-16 3503
爬虫-请求头中需要注意的(特殊的X-Requested-With)常见的请求头特殊的X-Requested-With 常见的请求头 有关注过爬虫的朋友应该会对http请求头比较熟悉 什么?不清楚 那我们百度百科一下 Accept:浏览器可接受的MIME类型。 Accept-Charset:浏览器可接受的字符集。 Accept-Encoding:浏览器能够进行解码的数据编码方式,比如gzip。...
怎么突破爬虫机制
liuguanip的博客
10-26 1252
通过使用代理IP、控制访问频率、使用User Agent、使用Cookie以及模拟真实用户行为等技巧和建议,你可以更加有效地突破爬虫机制的限制,实现数据的抓取和采集。通过使用代理IP,你可以隐藏自己的真实IP地址,并伪装成来自不同地区的正常用户进行访问。因此,你需要控制好自己的访问频率,以模拟正常用户的访问行为。许多爬虫机制都会监测用户的访问频率。这样,网站就无法将你的访问行为其他异常行为进行关联,从而规避了爬虫机制的检测。因此,突破爬虫机制的关键在于规避这些防护措施,以模拟真实用户的访问行为。
python基础爬虫&破解
热门推荐
stc_ljc的博客
08-31 13万+
爬虫是一种自动地获取网页数据并存储到本地的程序。它的主要作用是获取网站上的数据,这些数据可以用于分析、研究、开发等多种目的。爬虫可以帮助我们获取网站上的数据,而不需要人工浏览和抓取。爬虫的分类主要有通用爬虫和聚焦爬虫。通用爬虫是指搜索引擎和大型web服务提供商的爬虫,它们抓取的是一整张页面数据。聚焦爬虫是针对特定网站的爬虫,它们定向的获取某方面数据的爬虫
爬虫进阶-破解1(技术简介、HTTP网络基础知识、搭建代理服务)
liyunyang2000的博客
05-30 1792
爬虫进阶-破解1(技术简介、HTTP网络基础知识、搭建代理服务)
Python中常见的机制及其破解方法总结
2301_80240808的博客
12-02 2699
一、常见机制及其破解方式 二、调用三方API接口数据(天行数据) 三、OCR(光学文字识别)库 四、第三方打码平台(超级鹰打码平台) 五、通过接码平台接收手机验证码(隐私短信平台) 仅提供参考思路,网站在不断更新
爬虫机制应对】:揭秘京东策略,Selenium如何巧妙应对
[【爬虫机制应对】:揭秘京东策略,Selenium如何巧妙应对](https://www.scrapehero.com/wp/wp-content/uploads/2018/01/how-to-rotate-user-agents-using-python.png) # 1. 爬虫机制概述 ## 1.1 爬虫的...
爬虫逆向:一文掌握逆向中的加密解密(代码可直接拿来用)
最新发布
数据知道的博客
03-14 1万+
在现代网络爬虫开发中,目标网站为了防止数据被轻易抓取,通常会对传输的数据进行加密处理。这些加密手段包括但不限于 Base64 编码、对称加密(如 AES)、非对称加密(如 RSA)、自定义混淆算法等。理解和破解这些加密解密算法是爬虫逆向工程中的重要环节。有些网站使用自定义的加密算法,需要通过逆向分析找到加密逻辑。案例:逆向自定义加密使用浏览器开发者工具(F12)调试 JavaScript 代码。找到加密函数,分析其逻辑。使用 Python 实现相同的逻辑。# 示例:自定义 XOR 加密。
Python爬虫策略解析】:2分钟快速学会破解网站机制
[【Python爬虫策略解析】:2分钟快速学会破解网站机制](https://ucc.alicdn.com/pic/developer-ecology/2c539e5eadb64ea1be1cea2b163845b0.png?x-oss-process=image/resize,s_500,m_lfit) # 摘要 随着网络...
爬虫:一文掌握使用 AST 技术还原混淆的代码实战
数据知道的博客
02-28 8665
抽象语法树是源代码的树状表示,每个节点代表代码中的一个结构。通过 AST,开发者可以以结构化的方式分析和操作代码,而无需直接处理字符串形式的源代码。AST 在编译器、解释器、代码分析和转换工具中广泛应用。通过 AST 技术,可以有效地解析和还原混淆的 JavaScript 代码。结合 Babel 等工具,能够快速分析代码结构并还原可读性更高的代码。在实际应用中,需根据混淆模式灵活调整还原策略,并注意代码的合法性和性能问题。
Python3网络爬虫开发实战(11)JavaScript 逆向爬虫
bigcrab的博客
08-16 1461
JavaScript Hook,无限 debugger,模拟执行 JavaScript
破解爬虫策略 /_guard/auto.js(一) 原理
cjc000的博客
07-17 3868
当用代码或者postman访问一个网站的时候,访问他的任何地址都会返回,但是从浏览器中访问显示的页面是正常的,这种就是网站做了爬虫策略。本文就是带大家来破解这种策略,也就是爬虫
揭秘:6个能够击败任何爬虫的绝密 ‘爬虫‘ 措施!
xiaoganbuaiuk的博客
12-04 2739
掌握爬虫技术是许多开发者学习的重要一步。而在实践过程中,经常会遇到各种各样的措施。那么,当你遭遇这些爬虫措施时,应该如何应对呢?本文将为您梳理一些常见的措施以及相应的解决方案,帮助您应对这些挑战。
Python破解爬虫的两种方法
villaaaaaaaa
10-22 1万+
Python破解爬虫的两种方法 由于有很多企业为了减轻网页负荷,抵御爬虫爱好者,设置了许多方法阻挡爬虫,本人也只是个菜鸡, 目前只会两种方法绕过爬虫机制,本文也就只列出这两种方法。 1.伪装浏览器 由于爬虫多直接由python脚本直接访问网页,部分企业也就由此建立了识别来访者是否为Python脚本访问,所以,我们可以使用伪装浏览器的方式对此种防御方式进行破解。 from urllib.req...
python爬虫逆向破解_python爬虫- js逆向解密之破解AES(CryptoJS)加密的机制
weixin_39719989的博客
11-24 961
!function(t, n) {"object" == typeof exports ? module.exports = exports = n() : "function" == typeof define && define.amd ? define([], n) : t.CryptoJS =n()} (this,function() {var t = t ||function(t, n)...
【动图详解】通过 User-Agent 识别爬虫的原理、实践对应的绕过方法
weixin_34228662的博客
11-04 1759
开篇 随着 Python 和大数据的火热,大量的工程师蜂拥而上,爬虫技术由于易学、效果显著首当其冲的成为了大家追捧的对象,爬虫的发展进入了高峰期,因此给服务器带来的压力则是成倍的增加。企业或为了保证服务的正常运转或为了降低压力成本,不得不使出各种各样的技术手段来阻止爬虫工程师们毫无节制的向服务器索取资源,我们将这种行为称为『爬虫』。 『爬虫技术』是互联网技术中为了限制爬虫而产生的技术总称...
为何大量网站不能抓取?爬虫突破封禁的6种常见方法
weixin_45583158的博客
05-27 2万+
在互联网上进行自动数据采集(抓取)这件事和互联网存在的时间差不多一样长。今天大众好像更倾向于用“网络数据采集”,有时会把网络数据采集程序称为网络机器人(bots)。最常用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

九月镇灵将

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值