某网站登录接口参数分析

最新推荐文章于 2024-04-02 15:59:11 发布
最新推荐文章于 2024-04-02 15:59:11 发布
阅读量58 收藏
点赞数
分类专栏: 逆向爬虫--基础篇 文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_77081315/article/details/134090475
版权

通过对请求进行抓包,进行两次请求,负载中发现有以下参数:

通过对比发现password是加密的,captcha、execution两个参数在变化,其中captcha是验证码的英文,观察发现captcha的确是验证码;通过全局关键字搜索关键字execution,发现如下:

<input type="hidden" name="execution" value="c535ae11-9adc-4986-bc8e-cddf14d2c3">

<input type="hidden"> 是一个 HTML 元素,它通常被用于在表单中存储隐藏的数据。这个元素不会在页面上显示出来,但可以用于在提交表单时传递额外的数据。

再对password进行全局搜索,很容易便发现其加密位置,该加密采取了AES加密,加密实现中使用了 CBC 和 PKCS7 模式进行填充,增强其随机性与安全性,最后使用CryptoJS.AES.encrypt进行加密,最后为了保证数据传输的安全与完整,使用了encodeURLComponent进行编码,最后得出加密的密码;但是其解密方法的位置未进行解码,无法对密文进行正确输出。代码如下:

// 此仅属于方法分享,未给出密钥等,无法运行
var key = CryptoJS.enc.Utf8.parse();
var iv = CryptoJS.enc.Utf8.parse();
function encrypt(plaintext) {
    var encrypted = CryptoJS.AES.encrypt(plaintext, key, {
        iv: iv,
        mode: CryptoJS.mode.CBC,                       
        padding: CryptoJS.pad.Pkcs7
    });
    var edpwd = encodeURIComponent(encrypted.toString());
    return edpwd;
}// 加密
function decrypt(ciphertext) {
    var decodedCiphertext = decodeURIComponent(ciphertext);
    var decrypted = CryptoJS.AES.decrypt(ciphertext, key, {
        iv: iv,
        mode: CryptoJS.mode.CBC,
        padding: CryptoJS.pad.Pkcs7
    });
    var plaintext = decrypted.toString(CryptoJS.enc.Utf8);
    return plaintext;
}// 解密
function checkForm() {
    var password = "123456";
    var encryptPwd = encrypt(password);
    console.log("加密后的密码:"+encryptPwd);
    var pWD = decrypt(encryptPwd);
    console.log("解密后的密码:"+pWD);
    return true;
}

碳墨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jmeter接口测试实例(一)登录接口参数化设置
weixin_42976139的博客
10-17 3342
内容: jmeter实现简单的接口测试、并进行参数化(需要补充csv格式的数据) 前提: 测试http协议的登录接口接口请求方式为post,请求参数为非json格式 一、实现接口测试: 1、在测试计划下,右键添加线程组,每一个接口测试的请求必须在线程组下,一个线程组可以理解为一个用户,有了用户才能发送请求进行测试。 2、在线程组下,右键添加取样器—http请求,并根据接口信息,填写以下信息: ...
HTML使用ajax请求登录接口,带参数使用
热门推荐
xtyzmnchen的博客
07-13 1万+
//方法function getThrough(){ var date=new Date;//携带的参数 var params = { gkmc: '广州', year:date.getFullYear(), minTtl:'', maxTtl:'', arealag:1,        recordPerPage: 10,        page: 1,    }; var _cont...
postman-02 一个简单的登录接口
BenZ_X的专栏
06-30 4630
一个简单的postman登录api实例
三十、实战演练之用户登录接口设计、登录功能前后端联调
Sean_0819的博客
03-18 1769
接口名称:/users/login/请求方式:POST参数格式:JSON请求参数参数变量名类型说明是否必传用户名username字符串用户名是密码password字符串密码是请求示例:json格式参数 返回示例:响应状态码: 200响应数据: 2. token刷新接口设计 接口名称:/users/token/refresh/请求方式:POST参数格式:JSON请求参数参数变量名类型说明是否必传refresh_tokenrefresh字符串刷新token值是请求示例:json格式参数
JS逆向——微博登录接口参数分析
m0_46639364的博客
04-12 2648
web端登录页:aHR0cHM6Ly93ZWliby5jb20vbG9naW4ucGhw 首先抓包:随意输入账号密码。打开开发者工具会发现,输入完账号密码之后会分别发一次get请求。 第二次请求的响应结果比较重要,在后面做逆向会用到,首先请求头中携带参数su: MTU3MTIzNDU2Nzg=,是由用户名进行了base64编码而来。该请求响应如下图: exectime: 7 nonce: "OT1XYI" pcid: "gz-578eb0e9e0cecca273279e66ad49add8c260" pu
实战篇03:登录接口
最新发布
分享简单的安全技术
04-02 691
请求路径:/user/login请求方式:POST接口描述:该接口用于登录
数据抽取-Kettl动态参数调用HTTP、POST接口
10-19
- 事件触发的ETL:当某个事件发生时,通过POST发送数据到分析平台。 - 自动化报告:定期调用接口获取报告数据,然后进行处理和存储。 六、学习资源 对于进一步了解Kettle动态参数调用HTTP、POST接口,可以参考...
某通信公司技术规范外部接口分册.pptx
11-22
该通信公司的技术规范外部接口分册详细阐述了省级经营分析系统与外部系统之间接口的规范和设计原则。接口规范的主要目标是统一接口格式,降低建设风险和难度,保障数据接口的建设和系统的稳定安全,以及通过数据封装...
Java Predicate及Consumer接口函数代码实现解析
08-19
Java Predicate及Consumer接口函数代码实现解析 Java Predicate及Consumer接口函数代码实现解析主要介绍了Java Predicate及Consumer接口函数代码实现解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作...
python+excel接口自动化获取token并作为请求参数进行传参操作
12-16
当某个接口用例的`token`字段标记为"yes"时,程序会读取token文件,合并请求数据和token,然后发起请求。 补充知识部分,提到了Python读取Excel文件进行接口自动化测试,以及将测试结果写回Excel的过程。这通常涉及...
Java编程接口回调一般用法代码解析
08-29
接口回调是指可以把使用某一接口的类创建的对象的引用赋给该接口声明的接口变量,那么该接口变量就可以调用被类实现的接口的方法。实际上,当接口变量调用被类实现的接口中的方法时,就是通知相应的对象调用接口的...
接口测试之登录参数
Jack影像一点点
08-11 471
之前研究了UI自动化测试,今天来看看接口测试,实现某项目的登录参数化,代码如下: # -*- coding: utf-8 -*- """ ------------------------------------------------- File Name: LoginsTest.py Description : Author : 曾良均 QQ: 277099728 Date: 8/11/2021 3:46
Web API应用架构设计分析(2)
weixin_33853794的博客
07-04 1125
在上篇随笔《Web API应用架构设计分析(1)》,我对Web API的各种应用架构进行了概括性的分析和设计,Web API 是一种应用接口框架,它能够构建HTTP服务以支撑更广泛的客户端(包括浏览器,手机和平板电脑等移动设备)的框架,本篇继续这个主题,介绍如何利用ASP.NET Web API 来设计Web API层以及相关的调用处理。 1、Web API的接口访问分类 Web API接口的...
架构设计--用户端全http参数接口详细说明v1
weixin_34127717的博客
04-01 238
    1. 用户端全http参数接口详细说明v1.doc 1 2. change histor 1 3. 接口通用参数说明 1 4. 函数注册接口(规划中) 3 5. 用户权限模块 3 5.1. 用户注册接口(增加用户登陆数据) 3 5.2. 登陆接口(查询用户登陆权限数据接口) 4 6. 用户信息模块 5 6.1. 修改用户信息 5 7. 商品模块 5 7.1. 调用范例 5 7.2. 显...
西北乱跑娃 --- html登录案例js验证
西北乱跑娃的博客
03-08 909
在你测试代码之前请自行准备好jquery.min文件 效果展示 login.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <style> in...
Locust学习笔记5——登录接口参数关联
像蚂蚁一样工作,像蝴蝶一样生活
06-25 4895
  引言   前面在Locust学习笔记3——模拟登录案例(非加密)讲了登录接口,但是这个登录接口并不需要动态参数以及加密签名等校验,而且也没有继续讲登录后的操作。现在这篇文章主要讲上下接口关联的场景,比如接口A返回的数据,作为接口B的请求参数。   之前讲的登录接口是Vue的接口,现在我以学信网为例:https://account.chsi.com.cn/passport/logi...
登录接口详解
YouAreBest91221的博客
04-08 3052
登录接口进行记录以及详解: 1.若是验证码登录,判断验证码是否正确,因为用户可能是验证码登录或者是密码登录所以可以不传 (1).如果验证码不为空,调用查询用户短信验证码接口,参数需要手机号,验证码,type为0(人为设置), 在调用mapper中相应方法,后进入该接口的xml文件,如图 resultmap为自定义,将实体类与数据库字段进行匹配,如图: (2)如果实体类不为空,则得出该实体...
前后端登录接口数据的传递
weixin_42235965的博客
07-03 3671
var xmlhttp;if (window.XMLHttpRequest){//IE7+, Firefox, Chrome, Opera, Safari       xmlhttp=new XMLHttpRequest();}else{// IE6, IE5       xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");}//上面的http请求对象的生...
f12查看接口参数
09-18
在开发者工具中,我们可以查看包括接口参数在内的各种网络请求信息。以下是一些常见的操作步骤: 1. 打开开发者工具:通过按下F12键或右键点击网页,选择“检查”或“审查元素”,即可打开开发者工具。 2. 切换...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值