老司机带你攻破亚马逊metadata1算法的神秘面纱

lee氏

老司机带你攻破亚马逊metadata1算法的神秘面纱

这是一篇亚马逊技术员的福音文章
什么是metadata1
研究出来的结果
还是老老实实在浏览器上抓个包看看吧。
来到关键的一步就是把整理的数据post到亚马逊了。
做了十多年的技术，不甘心。
这是一篇亚马逊技术员的福音文章

亚马逊涉及的二次开发是很多程序员的第二个饭碗，但是亚马逊的开发人员也不是盖的，要攻破他们紧密设计出来的东西可不是唾手可得的，想必骚年们必须经历九九八十一难才能取得最后的正经。下面我们一起来揭开他的神秘面纱吧。

什么是metadata1

这个metadata1，实际是前端采集的很多形为数据，这些数据组成一个很大的object，序列化成string后再加密，最终base64编码得到，大致有以下数据：

1.鼠标点击数据：点击次数，点击坐标、点击间隔等；
2. 键盘按键数据：按键次数，按键间隔等；
3. 页面脚本数据：动态加载脚本列表、静态脚本内容块hash等；
4. 表单INPUT相关：内容hash等；
5. 浏览器信息：userAgent、location、引用页等；
6. 浏览器兼容性：css、js相关的一些兼容检测数据等；
7. 脚本性能数据：页面相关的一些事件触发时间；
8. localStrorage数据：唯一标识ubid；
9. GPU相关数据：支持的功能扩展等；
10.canvas数据：绘制一些形状，如果有表单，还会将表单中某些元素的内容绘制进去，最终计算绘制出来的图形数据的hash值，还会统计图片数据中各字节ascii码值出现的次数;


研究出来的结果

图片: 这是网络上一位大神帮我们开的先路，但是很多人来到这里还是懵逼的。包括我自己


还是老老实实在浏览器上抓个包看看吧。

这是什么鬼，都是给外星人看的吗？ 那些亚马逊的程序员为了扰乱视听，搞出这种东西也是恶心啊
函数，变量 都是用o0o0 ilil之类很相似的字扰乱。他们亚马逊搞前端的技术头搞不好是一个变态主义者。哈哈。开个玩笑，毕竟前端的源码是透明的，所以需要特殊的加密方式才可以保证他们的算法安全，但是他们能想出这种方式的加密也是头脑风暴了，给破解他们的人狠狠加了一道高墙。

不管三七二十一了，一定要给他破译出来。 功夫不负有心人，经过九牛二虎之力终于破译了一部分了。累成狗，最终翻译出来是这样的。如下图，代码漂亮许多了吧。但是6000多行代码，，啊。 如果没有耐心的人 ，真的会疯掉。


这一步全部完成后 ，需要开始慢慢了解上面大神所指引的那些相关的字段在破译文件里的蛛丝马迹了。其他都没有什么难点，最重要的是 canvas画图， 这个是需要你重新部署一个canvas环境，亚马逊把账号规则加入到canvas画画，最后形成一张图片发送到他们后台进行验证。


研究到最后 发现生成后的图片是这样子的，好恶心，什么乱七八糟的。搞不好这个图片可以给画家们灵感还不一定，像什么抽象画啊 ，又或者是什么后印象主义的什么鬼吧。哈哈，反正就很艺术。

其他的数据都是根据自己在后台随机就ok 了。什么鼠标，键盘，系统时间 ，浏览器之类一大堆。最后经过千辛万苦终于把metadata1的算法给生成出来了。 中间还涉及到算法计算后的加密，总之出来的结果是这样的，应该是对的吧。
ECdITeCs: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

1.鼠标点击数据：点击次数，点击坐标、点击间隔等；
2. 键盘按键数据：按键次数，按键间隔等；
3. 页面脚本数据：动态加载脚本列表、静态脚本内容块hash等；
4. 表单INPUT相关：内容hash等；
5. 浏览器信息：userAgent、location、引用页等；
6. 浏览器兼容性：css、js相关的一些兼容检测数据等；
7. 脚本性能数据：页面相关的一些事件触发时间；
8. localStrorage数据：唯一标识ubid；
9. GPU相关数据：支持的功能扩展等；

这部分数据直接在合理的区间内随机生成也写死固定值就好了。

来到关键的一步就是把整理的数据post到亚马逊了。

经过抓包后可以看到需要提交这些数据


经过整理的后的post数据提交后又发生问题了，真的是气死人了。居然还出现验证码，这不是要断了我们的后路吗。这是不合理的吧，如果亚马逊大神们费尽心思搞出这么一个算法，还需要验证码，不是浪费时间吗？ 还不如一开始就直接验证码，，经过一番的头脑风暴，还是想不出解决的方案。脑门里突然闪出一个邪恶的念头，就是自动填写验证码。。这是要把自己逼疯的地步了。


还好本人学过一些python的机器学习的东西，就直接学以致用把，运用到实际上来。就是不知道这个坑 到底要踩多深而已



现在突然发现自己真的是无敌了，好神奇的验证码都被一波神秘的，有学习能力的代码给折服了。



来到这里 只有一句话想说就是 ：人生苦短 学编程命更短。

突破验证码之后，继续试试看如果自动登录了。

问题来。。。问题又来了。。。。。。有句MMP 真的要讲。



please enable cookies continue 又是什么鸡巴毛东西。

难道我的cookies有问题吗？？

我真的该放弃了。 做人真累。。

为了那点薄弱的工资，想想家里的老人 还有老婆 小孩 （先要有个老婆，再考虑有小孩） 。。必须硬着头皮继续啃下去。

检查来了好多次cookies 都没有问题啊。 灵光一闪，知道问题的所在了， 知道答案后，人生再一次跌入了低谷，，因为上面的验证码都是白搞瞎搞。。一些都是无用功。

因为验证码自动填写后还会继续出现验证码， 验证码出现后还有验证码 。。。。。。无限循环。

如果手动输入验证又会跳转到 please enable cookies continue 这个页面。 好吧。我彻底奔溃了。 决定还是放弃。。。

做了十多年的技术，不甘心。

真的不甘心。 就这么放弃了。 所以我还是选择百度，选择google 看看大神们能不能再给我灵感。

有一句你妹我只想脱口大骂。。 下面文字有一些高能 ，，大家注意了
当我灰心意冷的时候 当我放弃治疗的时候， 索性输入 www.metadata1.com 后发现 。。你妹。。你妹 。。

一个硕大的脑壳儿。 还有一句中文 写着亚马逊登录算法api 。。。。。居然有大神把亚马逊的算法给攻破了 然后做成接口了，反正自己做不出来，先试试看 人家是怎么弄吧。

还有详细的文档。本人又一次彻底膜拜了



经过一波的骚操作后， 哈哈哈哈哈哈哈哈。。。哈哈哈哈哈哈哈。

居然真的 post成功了。。登录了。


先别高兴的太早， 在登录的中间 还是有一个小插曲的， 因为第一次登录，亚马逊对账号所涉及的环境也有判断的，如果这个账号在新的网线 新的电脑环境下 会出现需要邮箱的验证码



但是这里也还涉及到一个如何去邮箱里解析出那个验证码？ 对大部分技术员来说 并不难， 用pop3 或者imap 等协议去获取就ok 了。 提示一下 邮箱需要开通这些权限才可以的哦。

hhhsgcc

老哥    怎么联系呢

316940981

付出总会收获，这就是程序员

fywyk1

我居然看到网址部分了

Sunfish

所以搞了半年这叫技术贴？水贴+推广贴算吗
小伙子我劝你耗子尾汁

wskdnftjb

转载的 最好把 转载两个字也写上去

北夏

感谢大佬给的思路， 有机会也研究一波~

飘在空气里

感谢大佬给的思路， 有机会也研究一波~

1771379501

感谢发布原创作品，精易因你更精彩！

奇迹2019

就是个广告，进去网站后加群，就是楼主本人，

53507203

怎么感觉这个是广告贴啊