限制直接通过 API 接口访问的一些手段有哪些?

2020-01-09 13:53:37 +08:00
 oceanbhy71000

场景是这样的, 就比如这个网站 http://itnpyfwshe.com/kd2qu4 我想实现自动进行在这个网站的娱乐大厅里的一个竞猜游戏, 先是使用了 selenium,使用 webdriver.firefox,先自己登陆好账号,然后启动的时候指定缓存位置,这样可以实现,但是没两天,就被检测到了...后来我知道,selenium 很容易被检测到..

然后我就使用了 API 接口的时候,先拿到下注操作的接口,里面肯定是要带有 cookie 的,然后我发现,这个 cookie 里有一个内容,一天内大概会变个几次.然后因为我手动替换的新 cookie,没两天又被检测到了...

后来我发现,很多大站也会采用这样的方式,大致的意思就是,浏览器访问一般没问题,可以自己刷新 cookie,但通过接口访问,会限制你的访问时效,就是通过变换一些 cookie 内容.

还发现这个网站,明显有很多脚本在下注,而且是一期不落,很明显是脚本干的,但是人家已经很长时间甚至好几年上十年的跑着没问题了,,怎么做到的..

1269 次点击
所在节点    问与答
5 条回复
p1094358629
2020-01-09 14:02:08 +08:00
人家肯定是后门,算灰产的一部分吧. 我觉得可以研究下 js 的 cookie 加密,直接破解就完事儿了
sunkai0609
2020-01-09 14:05:12 +08:00
cookie 不是后端返回的么,你也更新不行吗
sunkai0609
2020-01-09 14:06:14 +08:00
也可能是前端变换的内容
oceanbhy71000
2020-01-09 19:32:57 +08:00
@p1094358629 我也感觉有后门,你看那个今天牛 1,也是今年牛 2,去年(2019 年)牛 1,一年回收那么多蛋..这么明显平台肯定是知道的..
oceanbhy71000
2020-01-09 19:35:35 +08:00
@sunkai0609 不知道他是怎么更新这个值的'.ADWASPX7A5C561934E_PCEGGS':
是一个 16 进制的密文.浏览器访问可以自动换可能是浏览器打开站点的时候,请求了一个刷新这个值的东西...但是没找到这个请求信息

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/636478

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX