最近换了工作 好久没写东西了

akamai sbsd

这是9月份在上家公司时做的
现在用的网站还挺多的
所以来说说

表现形式 就是在请求时会返回这样的中间页面 标志基本就是 src 包含 ?v={uuid}&t={\d+} 的js地址
v 和 t 后面要用到

这里 我们用xhr 断点 就能找到发包位置
也可以找到一个大的json对象

里面包含很多的s开头的key 就是浏览器环境
其中比较需要关注的 就是 s123 这个参数

在这行断点才生成的这个参数 通过调试 可知这个逻辑是vmp 的
逻辑不复杂 插桩即可解决

发送数据前的加密

可知 body = h90(HG0, lb);
HG0 就是json对象 lb 是url参数中的 v

就调试吧 这段很简单
就是把 HG0 json.stringify 后转 hex
然后对hex字符串的每一位 字节+1

再用hmacsha256 lb 为key 加个sign
这个sign 也要 转 hex
然后对hex字符串的每一位 字节+1
再把这两段拼起来就完事儿了

然后发送请求返回的cookie sbsd_c 开头为 2~1
还会返回 sbsd 的cookie
就会通过验证了