分析了好幾個(gè)小時(shí)淘寶的登陸，對(duì)其反爬蟲(chóng)方案有了點(diǎn)思路，先記錄一下，后面會(huì)持續(xù)進(jìn)行分析。

眾所周知目前使用selenium打開(kāi)瀏覽器訪(fǎng)問(wèn)淘寶，不管你是手動(dòng)還是自動(dòng)登錄一律都是驗(yàn)證不通過(guò)，之前一直沒(méi)有正式分析淘寶的反爬蟲(chóng)方案，今天花了幾個(gè)小時(shí)分析了一下，也只是對(duì)其整體有個(gè)認(rèn)識(shí)，在很多細(xì)節(jié)上還不清楚。

image

之前寫(xiě)過(guò)的兩篇關(guān)于反爬蟲(chóng)的文章在淘寶上都能得到驗(yàn)證，這兩篇文章分別是《selenium的封殺與突破，記錄一次出師未捷身先死，淘寶、美團(tuán)對(duì)爬蟲(chóng)的深入打擊》、《Python爬蟲(chóng)中深不可測(cè)的ua參數(shù)，爬蟲(chóng)的身份證》，如果對(duì)瀏覽器指紋或者訪(fǎng)客身份標(biāo)示概念不清楚的可以先看這兩篇文章。

總體上淘寶的反爬蟲(chóng)思路是：基于用戶(hù)身份的ua算法，來(lái)識(shí)別瀏覽器是正常狀態(tài)還是非正常狀態(tài)，我們下面來(lái)說(shuō)具體的方案。

當(dāng)我們?cè)谔詫毜顷戫?yè)面輸完用戶(hù)名，還未輸入密碼時(shí)會(huì)發(fā)送一個(gè)post請(qǐng)求。

image.gif

image.gif

image

這個(gè)post請(qǐng)求中有一個(gè)關(guān)鍵信息ua，至于ua怎么生成目前還未分析出，他的出處在z在全局對(duì)象window[UA_Opt.LogVal]、或者window["_n"],并且每次輸出都不一樣。

image

瀏覽器window對(duì)象，他是出于一個(gè)私有屬性_n,但是怎么做到每次輸出的值都不一樣的，這是疑問(wèn)一。

image

這個(gè)在輸完用戶(hù)名后的post請(qǐng)求有什么用？這個(gè)請(qǐng)求決定了是否會(huì)出現(xiàn)滑塊驗(yàn)證，我們看它的響應(yīng)內(nèi)容：

image.gif

needcode是需要驗(yàn)證或者不需要驗(yàn)證，在webdriver打開(kāi)的瀏覽器中這個(gè)返回值一定是True，也就是一定要驗(yàn)證，但是他還不是淘寶拒絕一切selenium驗(yàn)證的標(biāo)準(zhǔn)，繼續(xù)向下。

image

繼續(xù)向下，當(dāng)返回needcode是True時(shí)候淘寶出現(xiàn)滑塊驗(yàn)證，那我們看滑塊驗(yàn)證的請(qǐng)求：

image

其中有個(gè)t參數(shù)，t參數(shù)就是ua，也就是在驗(yàn)證滑塊是否正確的時(shí)候淘寶后臺(tái)還會(huì)對(duì)ua驗(yàn)證一番，檢驗(yàn)是否為正確的標(biāo)識(shí)，一切selenium打開(kāi)的瀏覽器里面'browser': {'ie': False, 'chrome': True, 'webdriver': True},當(dāng)然webdriver是比較關(guān)鍵的參考標(biāo)準(zhǔn)，除此還有幾十個(gè)其他異于正常瀏覽器的屬性，很明顯這些信息被加密在ua參數(shù)之中。

淘寶后臺(tái)在收到滑塊驗(yàn)證信息的時(shí)候，會(huì)同時(shí)對(duì)ua經(jīng)行驗(yàn)證，所有含有webdriver=True的驗(yàn)證都會(huì)被返回code=300

image

現(xiàn)在我們大致就清楚了淘寶對(duì)selenium的檢測(cè)：通過(guò)本地的js算法生成ua，ua里面含有瀏覽器信息，甚至含有當(dāng)前地址，當(dāng)輸入完賬號(hào)后會(huì)把賬號(hào)和ua一起post給服務(wù)器，服務(wù)器解析ua后通過(guò)智能算法識(shí)別是否是常用登陸地、常用瀏覽器、環(huán)境有無(wú)異常，selenium打開(kāi)的瀏覽器是異常瀏覽器，一定返回滑塊驗(yàn)證，當(dāng)完成驗(yàn)證后會(huì)再把ua和滑動(dòng)的軌跡發(fā)給后臺(tái)，后臺(tái)在檢測(cè)ua，一旦含有異常信息就返回code=300，驗(yàn)證失敗。

目前ua的生成還沒(méi)找到，但是他有幾個(gè)特點(diǎn)：

1. 每次發(fā)送的ua都不一樣

2. ua的長(zhǎng)度會(huì)隨著使用次數(shù)的增加越來(lái)越長(zhǎng)。

目前分析到這里，在分析中ua生成沒(méi)找到，倒是把密碼的加密方式找到了，RSA加密。后面的分析還會(huì)繼續(xù)，歡迎探討。

ID：Python之戰(zhàn)

|作|者|公(zhong)號(hào):python之戰(zhàn)

專(zhuān)注Python，專(zhuān)注于網(wǎng)絡(luò)爬蟲(chóng)、RPA的學(xué)習(xí)-踐行-總結(jié)

喜歡研究技術(shù)瓶頸并分享，歡迎圍觀(guān)，共同學(xué)習(xí)。

獨(dú)學(xué)而無(wú)友,則孤陋而寡聞！