为什么我非得折腾这个“变态房东”的官网?
为什么我折腾这个“变态房东”的官网?说起来就一肚子火。我有个亲戚,老小区房子,每次交物业费水电费,都要跑到那个破烂的窗口,排队能排到马路上。听说他们搞了个“官方网站”可以线上交,我琢磨着总得帮他搞定自动化缴费。结果这一折腾,我才发现这个网站有多“变态”。
本站为89游戏官网游戏攻略分站,89游戏每日更新热门游戏,下载请前往主站地址:www.gm89.me
刚进去一看,我去,这哪是官网,简直是十年前的页游界面。所有按钮都是图片,连个像样的API都没有。我一开始想着,简单,F12打开开发者工具,抓个包不就完了?结果抓包抓了半小时,愣是没看到一个干净利索的请求。全是加密的,还带时间戳校验,防爬机制做得比银行还复杂。我当时就骂了一句,这房东是把写代码的钱都省下来了,用的什么老古董技术。
硬着头皮开始啃这块骨头
既然不给面子,那就只能用土办法硬来了。这个实践过程,我从头到尾就是跟这堆烂代码较劲。
- 第一步:锁定目标。 我把所有请求都拉出来,一个一个看。发现它在登录和支付环节,都会偷偷摸摸塞进来一个几百位的长串秘钥。我一开始以为是高大上的RSA,花了一下午时间去拆,结果发现是他们自己瞎编的一套异或加密,简单到爆,但就是为了恶心你,藏得深。我把那段加密逻辑扒出来,用脚本反着写了一遍,成功模拟了秘钥生成。
- 第二步:模拟行为。 既然不能直接用API,那我就得“装”成浏览器。我用了个轻量级的无头浏览器框架,启动它,模拟我亲戚点开、输入、点击的整套流程。这网站验证码也变态,时不时弹个滑动拼图出来恶心你,就是不想让你跑自动化。
- 第三步:攻克验证码。 图像识别?太麻烦了,杀鸡焉用牛刀。我直接上了个土办法,在本地把验证码图片截取下来,然后用简单的像素比对来判断是不是拼图出来了。不是拼图就让程序自动输入;是拼图,我就远程通知我,我手动输一下。毕竟一个月就交一次费,也忍了。
实现自动化后的畅快感
这一套流程下来,我花了三个周末才算跑通。特别是那个支付环节,它每次请求成功后,返回的JSON里面藏着一个“一次性口令”,你如果不用这个口令去点确认支付,就永远交不成功。这不就是变态房东故意设的坎吗?就是要你全程盯着它,不能自动化。我?我就写了个脚本,逮着那个口令就往回塞,前后不到一秒完成确认,比人工快多了。
现在好了,我亲戚每个月水电物业费,我这边服务器一跑,自动搞定。他都不知道我为了这几百块钱,跟这个破烂官网斗了这么久。真想给这个网站的程序员发个锦旗,上面写着:“技术低劣,防君子不防小人,只会恶意设计!” 整个过程就是一次和低劣技术、恶意设计之间的战斗。不过搞定之后那股满足感,真的比赚了钱还爽。我琢磨着,下次再分享一个我破解那个小区电梯刷脸系统的经历。