声明

本文章中所有内容仅供学习交流，抓包内容、敏感网址、数据接口均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关，若有侵权，请联系我立即删除！

目标网站

aHR0cHM6Ly93d3cua3VhaXNob3UuY29tL3Byb2ZpbGUvM3h4Ymt3ZDhta250ZWFj

参数流程分析

这里简单说一下流程吧，

刷新页面。如果没出滑块。删除cookie或者打开无痕重新打开。

config 请求 => 出滑块

kSecretApiVerify => 验证滑块

config请求 需要一个captchaSession 这个好像也是请求返回的。我们搜索一下就能找到了。

kSecretApiVerify 请求 只有一个负载参数 => verifyParam

然后请求响应呢 得到 captchaToken 最后把这个值带进数据请求里就ok了

​

ps： 这个接口 也不知道为啥有时候刷不出数据。不过不影响 本来就是研究滑块。

逆向流程分析

在伪造过程中发现。我们在获取数据的时候每次只有第一次能获取到数据。

在你第二次获取数据的时候。反而就获取不到数据了。

其实这里ks应该是校验了 一个cookie值 _did 这个cookie值需要带着去滑块。

然后检验了 你滑块过了 应该就能请求了。

这里_did 的具体算法如下：

// javascript 版本
X = "web_" + function () {for (var t = 1e9 * Math.random() >>> 0, e = [], n = 0; n < 7; n++)e.push("0123456789ABCDEF".charAt(16 * Math.random()));return t + e.join(""