快手滑块验证码分析 2022/03/17
之前快手滑块看过一遍但是没做,前天突然接到任务,需要生成did,没办法只能动手搞了。
重新看了一遍流程,发现官网有一些更新。
现在双验证接口,分别是 /rest/zt/captcha/sliding/kSecretApiVerify 和 /rest/zt/captcha/sliding/verify
不过这俩接口是独立校验的,二者目前没有关联关系。(无论过了哪一个API的校验,都可以使用)
本文主要说一下新的验证接口 kSecretApiVerify 。
kSecretApiVerify
kSecretApiVerify 近期是新加的,参数是verifyParam。
如何断点不再详细介绍,大家可以参考老文章。
c.ai(“0x31”) 的值是验证接口中,加密前的verifyParam。
c.ai(“0x31”) 等同于 urlencode。
可以在控制台输出 r 。
经过分析,这几个参数含义如下:
- captchaSn 滑块验证码信息
- bgPicWidth 原背景图 Width
- bgPicHeight 原背景图 Height
- cutPicWidth 原滑块图 Width
- cutPicHeight 原滑块图 Height
- captchaExtraParam 浏览器指纹信息
- gpuInfo 浏览器GPU信息
- trajectory 滑动轨迹
- relativeX 滑块X轴拖动距离
- relativeY 滑块Y轴高度
captchaSn 、bgPicWidth、bgPicHeight、cutPicWidth、cutPicHeight 是根据 captchaSession 获取的验证码配置信息。
获取接口是 /rest/zt/captcha/sliding/config
captchaExtraParam 、gpuInfo 可以设为定值
relativeY 在配置信息中有,relativeX 需要自行计算。
trajectory 我们处理时需要由拖动距离生成。
trajectory
有行为检测,代码生成的匀速轨迹并不能通过校验,手动去复制吧。
verifyParam
kSecretApiVerify接口提交的参数是加密的,也就是说需要对明文的verifyParam加密。
还是断点后往下调试就行,具体步骤我就不贴了。
总之,加密是先 o = l(a) ,再 d(x) , 不过需要注意 d(o) 是Promise 类型。
l 比较简单,d 是一段加密。
再具体就自己点进去看吧。
点进去,发现新大陆了。
加密在这个文件,拿出来自己测吧。
Verify
验证成功会返回 captchaToken。
一般验证参数错误,轨迹错误,返回350014 。
整体流程
