前言
目标网址:(登录_恒易融_恒昌旗下专业的互联网金融咨询服务平台,让资产管理更简单!)
逆向的参数X-sign(需要进行分析)
逆向过程
首先我们进入目标网址,按下F12打开抓包工具,输入账号密码进行抓包
我们直接去找有哪些加密过的参数,请求携带的参数都没有进行加密,我们再去看请求头
明显看的出来请求头X-sign是进行了加密的
我们直接使用x-sign进行关键字搜索,定位到目标js(搜索出来只有一个js),再到JS源代码中再进行关键字搜索
发现了x为X-sign的值,且找到了x的生成位置,我们设置一个断点在x的生成位置上,然后重新进行登录请求
“ _ ”除了 ’‘ f “,“ w ” 之外的参数都是固定不变的,” f "我们不难看出是一个时间戳,参数都解读出来了,加密入口也找到了,我们就可以开始扣代码了
注意:“_"定义时的”w“需要注意一下,里面的key和value的值(除了0之外)都需要使用双引号,不然结果会不一样
总结
上面案例的X-sign是一个比较典型的md5加密,比较适合当作基础JS逆向的练习案例