有人說爬蟲爬天爬地爬空氣,網站怎么有效保護密碼?(有哪些反爬蟲手段可以保護密碼)
其實,SVG 映射可有效保護密碼,
SVG 映射
SVG 用于描述二維矢量圖形的一種圖形格式,它基于 XML 描述圖形,對圖形進行放大或縮小操作都不會影響圖形質量,矢量圖形的這個特點使得它被廣泛應用在 Web 網站中, 下面我們要了解的反爬蟲手段正是利用 SVG 實作的,這種反爬蟲手段用矢量圖形代替具體的文字,不會影響用戶正常閱讀,但爬蟲程式卻無法像讀取文字那樣獲得 SVG 圖形中的內容,因為 SVG 中的圖形代表的也是一個個文字,所以在使用時必須在前端或后端將真實的文字與對應的 SVG 圖形進行映射和替換,這種反爬蟲手段被稱為 SVG 映射反爬蟲,
SVG 映射實戰
SVG 映射反爬蟲示例
網址:http://www.porters.vip/confusion/food.html反爬蟲練習, 任務:爬取美食商家評價網站頁面中的商家聯系電話、店鋪地址和評分資料,
評分資料中口味分數元素定位,奇怪的是根據頁面顯示內容,HTML 代碼中評分應該是 8.7 才對,但實際上我們看到的卻是:
<span class="item">口味:<d class="vhkjj4"></d>.7</span>
HTML 代碼中有數字 7 和小數點,但就是沒有 8 這個數字,似乎數字 8 的位置被 d 標簽占據,而商家電話號碼處的顯示就更奇怪了,一個數字都沒有,商家電話對應的 HTML 代碼如下(到底怎么回事):
<div class="col more">
電話:
<d class="vhkbvu"></d>
<d class="vhk08k"></d>
<d class="vhk08k"></d>
<d class="">-</d>
<d class="vhk84t"></d>
<d class="vhk6zl"></d>
<d class="vhkqsc"></d>
<d class="vhkqsc"></d>
<d class="vhk6zl"></d>
</div>
包含很多的 d 標簽,難道它使用 d 標簽進行占位,然后用元素進行覆寫嗎?我們可以將 d 標簽的數量和數字的數量進行對比,發現它們的數量是相同的(8個),也就是說一對 d 標簽代表一個數字, 每一對 d 標簽都有 class 屬性,有些 class 屬性值是相同的,有些則不同,我們再將 class 屬性值與數字進行對比,看一看能否找到規律,
猛然發現,從class 屬性值和數字的對比可以看出,class 屬性值和數字是一一對應的,如屬性值 vhk08k 與數字 0 對應,根據這個線索,我們可以猜測每個數字都與一個屬性值對應,
數字與屬性值對應關系 瀏覽器在渲染頁面的時候就會按照這個對應關系進行映射,所以頁面中顯示的是數字,而我們在 HTML 代碼中看到的則是這些 class 屬性值,瀏覽器在渲染時將 HTML 中的 d 標簽與數字按照此關系進行映射,并將映射結果呈現在頁面中,我們的爬蟲代碼也可以按照同樣的邏輯實作映射功能,在決議 HTML 代碼時將 d 標簽的 class 屬性值取出來,然后進行映射即可得到頁面中顯示的數字,如何在爬蟲代碼中實作映射關系呢?實際上網頁中使用的是 “屬性名?數字” 這種結構,Python 中內置的字典正好可以滿足我們的需求,可以用 Python 代碼測驗一下,代碼如下:
#定義映射關系
mappings = {'vhk08k': 0, 'vhk6zl': 1, 'vhk9or': 2,
'vhkfln': 3, 'vhkbvu': 4, 'vhk84t': 5,
'vhkvxd': 6, 'vhkqsc': 7, 'vhkjj4': 8,
'vhk0f1': 9}
#HTML 中得到的屬性值
html_d_class = 'vhkvxd'
#將映射后的結果列印輸出
print(mappings.get(html_d_class))
這段代碼的邏輯是:首先定義屬性值與數字的映射關系,然后假設一個 HTML 中 d 標簽的屬性值,接著將這個屬性值的映射結果列印出來,代碼運行后得到的結果為:
6
運行結果說明映射這種方法是可行的,接著我們試一試將商家的聯系電話映射出來:
#定義映射關系
mappings = {'vhk08k': 0, 'vhk6zl': 1, 'vhk9or': 2,
'vhkfln': 3, 'vhkbvu': 4, 'vhk84t': 5,
'vhkvxd': 6, 'vhkqsc': 7, 'vhkjj4': 8,
'vhk0f1': 9}
#商家聯系電話 class 屬性
html_d_class = ['vhkbvu', 'vhk08k', 'vhk08k',
'', 'vhk84t', 'vhk6zl',
'vhkqsc', 'vhkqsc', 'vhk6zl']
phone = [mappings.get(i) for i in html_d_class]
#將映射后的結果列印輸出
print(phone)
運行結果為:
[4, 0, 0, None, 5, 1, 7, 7, 1]
我們使用映射的方法得到了商家聯系電話,說明 SVG 映射反爬蟲已經被我們繞過了,
小結
本文示例所用的反爬蟲手段,即使借助渲染工具也無法獲得 “見到” 的內容,SVG 映射反爬蟲利用了瀏覽器與編程語言在渲染方面的差異,以及 SVG 與 CSS 定位這樣的前端知識,如果爬蟲工程師不熟悉渲染原理和前端知識,那么這種反爬蟲手段就會帶來很大的困擾,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/292870.html
標籤:其他
上一篇:【FastBinAttack實戰】babyheap_0ctf_2017
下一篇:xss之CSP bypass