JS逆向- 今日头条电商 token
source link: http://xianyucoder.cn/2020/07/16/Python%20%E7%88%AC%E8%99%AB%E8%BF%9B%E9%98%B6%E5%BF%85%E5%A4%87%20%7C%20%E5%85%B3%E4%BA%8E%E6%9F%90%E7%94%B5%E5%95%86%20token%20%E5%8F%82%E6%95%B0%E5%8A%A0%E5%AF%86%E9%80%BB%E8%BE%91%E5%88%86%E6%9E%90/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
JS逆向- 今日头条电商 token
下面这个例子比较简单,发布完之后才知道是某大厂。。
aHR0cHM6Ly9oYW9odW8uamlucml0ZW1haS5jb20vdmlld3MvcHJvZHVjdC9pdGVtP2lkPT
MzODAyODQ5MDY2NzU1MDM3NDAmcGFnZV9pZD0zMzgwMjg1NDczNTYx
MTMyMTA3Jm9yaWdpbl90eXBlPTE=
这个例子同样来自咸鱼的技术交流群
抓包分析与加密定位
先打开网站,定位到需要分析的请求
这个请求带着一个签名,而且这个值是一直不变的,位数一直保持的 32 位,可以大胆猜测他是 MD5 加密,之后的分析结果也同样验证了这一点。
先全局搜索一下,因为这个参数名在没有做混淆所以直接可以搜索到,不过这结果比较多,找起来还是比较耗费时间的。
第一种方式是检索token:
,结果只有两个,只要再次检索就能定位到了。
第二种就是XHR
断点这个之前讲过的,不过这里不推荐新手用 XHR 断点,新手分析一圈就懵了。
这里提供一个思路,如果检索的结果很多,但是 XHR 断点又分析不出来是那个堆栈的话,可以在 XHR 断点的每个堆栈里面搜索关键词,然后再打上断点分析,算是一种过滤的手段吧。
我们先打上 xhr 断点
然后再经过的堆栈里逐个分析
在这个位置就可以看到token
了(上面的小技巧都没用到)
打上断点,刷新
这里的s
就是传入的id
值了
之后直接单步即可进入加密逻辑了b.a
这里可以看到这里主要的逻辑是r()
,经过一次r()
之后将结果与s
拼接之后再传入r()
所以探究一下r()
就可以了,直接步入,可以看到下面的结果
简单的有点明显,为了验证结果,把页面加密的结果和我们自己的加密对比一下
页面的结果:
我们自己的测试结果:
好吧,结果没有什么不一样的,就是先将id
哈希一次,然后拼接上zd2019@@1157
再哈希一次,就是这样。
好咯,以上就是今天的全部内容了,咱们下次再见~
- 本文作者: 煌金 | 微信公众号【咸鱼学Python】
- 本文链接: http://www.xianyucoder.cn/2020/07/16/Python 爬虫进阶必备 | 关于某电商 token 参数加密逻辑分析/
- 版权声明: 本博客所有文章除特别声明外,均采用 许可协议。转载请注明出处!
- 并保留本声明和上方二维码。感谢您的阅读和支持!
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK