JS逆向之 Kasada 逆向实战

Page 1 · Kasada 逆向实战介绍

本系列基于 RuyiTrace（真实 Firefox + domtrace 内核）补环境，以 Sephora 站点为样本，
复刻 Kasada(kpsdk) 防护的完整逆向流程。素材来自参考资料 + 我们ruyitrace/的实测。

1. Kasada 是什么

Kasada（客户端 SDK 命名空间kpsdk）是一套面向 Bot 的反自动化防护，属于"客户端挑战 +
服务端校验"模型（和本站同时挂的 Akamai BMP 是同类，见 Page 3），但有自己的特征：

• 客户端脚本通常叫p.js，路径带两段随机 UUID 前缀（每站固定、跨站随机）：
  https://www.sephora.com/<uuid1>/<uuid2>/p.js
• 自定义栈式 VM 解释器承载核心逻辑，不是 WASM。p.js 内打包一大段字符串常量，
  用一个三参解码器解出整数操作码流，由 84 个 opcode handler 解释执行。
• 通过一组x-kpsdk-*请求/响应头与边缘交互，并把 token 镜像进 cookie。

2. 核心字段速览

记住一句话：ct 是服务端发的，cd/h 是浏览器算的。这决定了后面所有路线的可行性。

3. 为什么 Kasada 难

1. per-instance 随机化的 VM：函数名、隐藏属性名每次运行都变（实测同一 PC 位置，
   属性名 v1=bzqklqxveykfevtalwvnbtdtcocr、v3=cwwtzspiqzeddfgsnjqcoowwlsdp），
   静态还原无法预生成。
2. 挑战在 iframe 异步跑：核心求解逻辑在<uuid1>/<uuid2>/fp?x-kpsdk-v=...这个 iframe 里，
   有 Promise 链 + 双超时轨（5000ms / 20000ms）+ iframe 重建（re-interrogation）。
3. 服务端校验绑定会话：只重放 cookie/ct 而无新鲜完整 proof，边缘必返回新的 429 + 新 ct。
4. 与 Akamai 叠加：Sephora 同时挂了 Akamai（_abck/bm_*/ak_*），两套风控字段交织（见 Page 3）。

4. 三条路线与结论

「手写补环境不可行」要说精确：盲目硬补一切 API 的老路不可行；但诊断驱动地按需补 +
真实网络桥 + 不阻塞事件循环，纯 JS 也能跑通整条链、产出真实 cd（Page 8 实测闭环）。

5. RuyiTrace 为什么是正解

真实 Firefox 引擎天然具备 Node/jsdom 补不全的一切：真实 DOM/iframe、真实 WebCrypto、
真实定时器/Worker、真实指纹、真实网络栈（能收Set-Cookie）。domtrace 在C++ 网络层无痕
抓x-kpsdk-*头和 cookie（含 HttpOnly），对页面 JS 完全不可见，不触发反检测。

实测一轮即捕获到完整挑战链：p.js →/fp429 →/login429 → ct +ak_bmsc-kp*，
且ct == ak_bmsc-kp逐字节相等（与 provenance 文档结论一致）。

6. 本系列地图

• Page 2自动抓包流程分析：用 RuyiTrace 怎么把整条链抓下来
• Page 3Kasada 与 Akamai 联合风控：两套字段如何交织
• Page 4某请求 cookie 字段分析：83 个目标 cookie 的来源分类
• Page 5补环境本地拼接 cookie：真实内核补环境 vs Node 手写补环境
• Page 6纯算法生成 cookie 的边界：能算到哪、为什么算不全
• Page 7Kasada token 保活（持续生成）与全系列总结：为什么必须持续刷新、保活工程姿态
• Page 8纯 JS 补环境打穿最后一环：异步桥产出真实x-kpsdk-cd（系列收尾与反转）