5
不懂就问 关于抓包
source link: https://www.v2ex.com/t/963317
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
算是小白吧 我所理解的所有提交表单请求 都是在页面收集用户的选择信息 最后生成订单之类的 既然能抓包 可否在提交订单的时候 获取到提交的接口 然后提前拼好参数包含个人信息 token 之类的 这样就可以快速的抢演唱会门票啊 或者一些秒杀了 这种想法是否行得通呢 求大佬指教 勿喷 谢谢
16 条回复 • 2023-08-08 11:51:28 +08:00
 |
AreYou0k 4 小时 9 分钟前 可以,但是加密了你怎么破解人家的加密.
|
 |
s4d 4 小时 6 分钟前 “token”每次提交后就变了
|
 |
AoEiuV020JP 4 小时 5 分钟前 本来抢票软件就是这样做的, 效果比那种模拟点击的好很多,但前提就是要先破解协议知道怎么构造请求,
|
 |
hkiJava 4 小时 2 分钟前 @AoEiuV020JP 类似 thor 这种抓包软件 捕获不到请求的接口吗
|
 |
0o0O0o0O0o 4 小时 1 分钟前 via iPhone 你的表述类似于把大象放进冰箱的步骤,事实上是 2023 年有抢购价值的网站/APP 多是混淆加密风控和送进监狱一条龙的对抗,不是没经验的人能快速上手的事情。
|
|
hkiJava 3 小时 59 分钟前 @0o0O0o0O0o 之前参与微信小程序贵州特产抢购 所以好奇了这个点 确实不可刑
|
 |
streamrx 3 小时 45 分钟前 via iPhone 你抢不过的, 演唱会门票 茅台 鞋子 茶叶 nft 收藏品等等东西的抢购,都是无风险而且有确定性利润的东西 这个圈子已经是卷中卷了
|
 |
vituralfuture 3 小时 36 分钟前 via Android 是可行的,但有些限制。网站开发的时候就会注意这些安全问题。列举几个常见的
1. 前端用秘钥加密请求数据 这种情况就必须找到秘钥才能构造请求,好在前端 JS 是明文的,可以看 JS 代码逻辑 2. 前端 JS 混淆 为了保护资产,前端的代码很有可能是混淆过的,也就是说变量名都失去了含义,而且还会给你来点类似 o=Math,o.max 之类的操作把你搞晕 3. 表单隐藏域 为了防止 CSRF ,后端返回界面的时候可能会带一个表单的隐藏域,然后提交 表单都时候一起提交,如果后端接受到的表单中没有隐藏域或者隐藏域不是后端生成的,就会拒绝服务,不过可以用 selenium 这种库直接模拟用户操作浏览器,就能解决这个问题,还可以提前发起请求搞到隐藏域的值 4. 承接上点,用 selenium 也是坑,前端可能检测 JS 运行环境,发现你在用无头浏览器或者用 selenium 操纵浏览器就会拒绝服务 5. 用户登录 这应该是个大坑,具体我不了解,但是如果你不用 selenium ,登录是很难的。涉及到用户认证之类的。然而你用 selenium 也不见得简单,常见的问题就是各种检测你是不是机器人的东西,验证码,或者让你拖一个条,或者之类的。这个可以用计算机视觉的某些模型搞定,但是你自己做很麻烦,可以考虑有些公司提供的 api 接口帮你搞定验证码 |
|
hkiJava 3 小时 32 分钟前 @vituralfuture 感谢解答 selenium 我以前试过 用的自己账号抢购的演唱会 像一些名气不大的轻轻松松抢到 可是周杰伦的就不行 可能有很多原因吧 网速啊 加载啊什么的 也是太想原价买了 泪奔
|
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK