web端常见风控及应对策略
引言 掌握Web端风控手段是逆向工程的基石。通过了解常见的防御策略及其实现,才能更深刻理解如何应对和解析安全挑战。 Web端风控手段,包括但不限于访问频率控制、输入验证、请求验证、行为分析、代码保护、内容保护等。 访问频率限制 基于访问频率对相应ip或账号进行限制,对于访问频繁的账号/ip,标记为异
从阿里滑块_rand参数谈基于CSS动画特性的参数传递机制
前言 阿里滑块一直在跑231.1版本,最近发现有些接口使用231.1生成的x5sec还是会重复出现滑块,于是找朋友搞了一版最新的,其中他的_rand参数的关键部分用了playwright自动化生成,放到docker中并发有点过于占用内存,就研究了下生成机制。 1. 检测代码 <html><head>
某平台网关请求签名rid逆向分析
仅用于学习交流,如有侵权请联系删除 最近某bubu挺火,无聊瞎研究一下某小程序的通信。 抓包 PC打开小程序提示请在手机使用,简单改了几个点都过不去检测,直接放弃此方案。 安卓抓包失败,走的不是普通https,云函数也抓不到,先看代码吧,小程序底层就是js的,整个wx对象是js封装,直接用别人的付费
逆向
未读
某度百科旋转验证码v2
某度百科旋转验证码v2 网址:aHR0cHM6Ly9iYWlrZS5iYWlkdS5jb20vdmlldy8yMDAwMDAwMS5odG1s eg:旋转验证码 请求流程分析 验证码初始化 style
爬虫
未读
DrissonPage替换js或指定请求的响应内容
好久没更了,水篇文章,通过dp提供的cdp接口执行cdp命令,替换指定请求的响应。 from DrissionPage import ChromiumPage, ChromiumOptions
import time
import base64
def intercept_requests(pag
TikTok抓包协议分析:So层逆向
前言 免责声明: 本文内容仅供学习交流使用,请勿用于其他用途,如因使用本文内容而产生任何问题,与作者无关,如果本文侵害贵司权益,请联系 [email protected] 下架处理 第一章搞定了,Tk的上网环境,但是还不能抓包,因为Tk系的协议不太一样用的是QUIC协议 那我们今天的目标是绕过这
利用浏览器特性进行数据加密与传输的N种方式
在 Web 环境下,浏览器提供了许多可供开发者使用的 API 和机制,这些机制在正常开发中发挥着至关重要的作用。但在某些场景下,它们也可能被用来进行隐蔽通信或数据的“暗度陈仓”。本文将从多个角度介绍这些方法,并给出示例代码与详细解释。 1. 基于存储机制 浏览器原生提供了多种数据存储方式,不同方式在
逆向
未读
小红书日志上报protobuf参数生成
目标网站:aHR0cHM6Ly9jcmVhdG9yLnhpYW9ob25nc2h1LmNvbS9uZXcvbm90ZS1tYW5hZ2Vy 目标参数为collect请求的payload 找出入参 先追栈找到出参位置: 可以看到e和n对象明显有proto jspb的字样,盲猜是json转的protob
字节系a_bogus最新版本插桩分析及还原
国庆前抖音罗盘a_bogus突然更到了1.0.1.15版本,拿去年的短ab跑间歇性给数据,当时由于短ab断断续续的还能跑,假期在即就没管它了,昨天突然就g了,只能被迫开干。 由于只做商家后台不做dy前台,所以中间的长ab版本都没跟过,从星球找了一份1.0.1.5的纯算,对照着开始改。 插桩简单看了下
akamai3反混淆
最近有朋友说akm3有些站已经正式上了,代码混淆跟以前差很多,简单看一下反混淆: 网站: https://www.bestbuy.com/site/apple-macbook-air-13-inch-laptop-m3-chip-8gb-memory-256gb-ssd-midnight/65658