Identificación de la biblioteca de JavaScript anti-bot

Navega tus respuestas
6

Estoy haciendo una investigación sobre medidas anti-bot que los sitios web pueden usar para prevenir la automatización. Me encontré con una biblioteca de JavaScript y estoy tratando de identificar su origen. Al principio pensé que era una biblioteca específica del sitio, pero después de una investigación adicional descubrí que muchos sitios web de comercio electrónico utilizan la biblioteca exacta, pero aún así no pude encontrar la compañía de origen de esta biblioteca (autor). Esto es lo que sé que puede ayudar a identificarlo:

  • La biblioteca generalmente se almacena de la siguiente manera: 

    http://www.example.com/_bm/async.js

  • Una vez que se requiere, la biblioteca envía una solicitud de publicación a 

    http://www.example.com/_bm/_data

    que establece una cookie llamada _abck .

Básicamente, esta biblioteca determina si el usuario es un robot de automatización o un humano real.

¿Qué compañía es propietaria de esta biblioteca (sitio web si es posible) y cómo puedo contactar con ellos para implementarla en mis propios sitios web?

Editar para obtener más aclaraciones:

Algunos ejemplos incluyen, entre otros:

pregunta Reyno 04.04.2018 - 10:17
fuente

2 respuestas

2

Lo desenfocé (vea el código de coffeescript a continuación) y lo revisé en jsbeautifier.org 

stringList = [ ... list went here ]

tCode = '''
... code went here
'''

tIn = tCode
tOut = ""
while tIn != tOut
  tIn = tCode
  for x in [0...stringList.length]
    console.log("_ac[#{x}]", stringList[x])
    tCode = tCode.replace("_ac[#{x}]", stringList[x])
  tOut = tCode

los resultados son aquí

tras una breve mirada a través del código, parece que están haciendo cosas con la comprobación de complementos y el desorden con lienzo ... también conocidas como cosas que romperían la mayoría de los robots

parte del código menciona una clave pública cf[api_public_key] = afSbep8yjnZUjq3aL010jO15Sawj2VZfdYK8uY90uxq ... la búsqueda en google de esa clave pública produjo algo de código que podría pasar por alto esta detección anti-bot

Puede encontrar más información sobre el dominio que figura en el código aquí 

   Domain Name: CFORMANALYTICS.COM
   Registry Domain ID: 1897860898_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.godaddy.com
   Registrar URL: http://www.godaddy.com
   Updated Date: 2018-01-08T20:17:08Z
   Creation Date: 2015-01-24T01:00:53Z
   Registry Expiry Date: 2020-01-24T01:00:53Z
   Registrar: GoDaddy.com, LLC
   Registrar IANA ID: 146
   Registrar Abuse Contact Email: [email protected]
   Registrar Abuse Contact Phone: 480-624-2505
   Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
   Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Name Server: BONNIE.NS.CLOUDFLARE.COM
   Name Server: DOM.NS.CLOUDFLARE.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2018-04-06T08:28:19Z <<<

código posiblemente propiedad de Godaddy?

    
respondido por el CaffeineAddiction 06.04.2018 - 10:04
fuente
4

Esta biblioteca anti-bot pertenece a Akamai. Los clientes ejecutan el javascript y publican en /_bm/data en un sitio detrás del CDN de Akamai. El administrador de bots de CDN (bm) luego toma decisiones basadas en los datos enviados, tales como ralentizar las respuestas a los clientes sospechosos de bots o los 403s. La cookie abck se devuelve al enviarse al punto final /_bm/data .

Puede leer más sobre esto aquí < =

    
respondido por el dan 31.08.2018 - 13:33
fuente

Lea otras preguntas en las etiquetas

¿Por qué FIDO U2F es un estándar completamente diferente de FIDO UAF en lugar de solo un subconjunto? ¿Puede la autenticación JWT actuar como un mecanismo anti-CSRF?