2024年某书最新x-s-common签名算法分析以及点赞接口测试nodejs(2024-03-30)

最新推荐文章于 2024-07-10 16:47:58 发布
最新推荐文章于 2024-07-10 16:47:58 发布
阅读量957 收藏 14
点赞数 14
文章标签: 算法 python javascript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KHSSD/article/details/137177155
版权

2024年,某书更新了x-s-common算法,目前的版本是4.7.2。这个签名算法变得越来越关键,许多接口都需要使用它,比如获取笔记信息接口,如果没有这个算法,就无法获取数据。

  一、对Chrome进行逆向工程以破解x-s-common算法。

在Chrome浏览器中按下F12打开开发者工具,然后随意选择一个接口,在全局搜索中输入"x-s-common"关键词,找到对应的位置如下所示:

(图1x-s-common算法位置)

    2、x-s-common参数

function xsCommon(t, e) {

            try {

                var r, n, o = t.platform, i = e.url, a = map_default()(NEED_XSCOMMON_URLS).call(NEED_XSCOMMON_URLS, (function(t) {

                    return new RegExp(t)

                }

                ));

                if (!some_default()(a).call(a, (function(t) {

                    return t.test(i)

                }

                )))

                    return e;

                var u = e.headers["X-t"] || ""

                  , c = e.headers["X-s"] || ""

                  , s = e.headers["X-Sign"] || ""

                  , l = getSigCount(u && c || s)

                  , f = localStorage.getItem(MINI_BROSWER_INFO_KEY)

                  , p = localStorage.getItem(RC4_SECRET_VERSION_KEY) || RC4_SECRET_VERSION

                  , d = {

                    s0: getPlatformCode(o),

                    s1: "",

                    x0: p,

                    x1: version,

                    x2: o || "PC",

                    x3: "xhs-pc-web",

                    x4: "3.23.0",

                    x5: js_cookie.Z.get(LOCAL_ID_KEY),

                    x6: u,

                    x7: c,

                    x8: f,

                    x9: encrypt_mcr(concat_default()(r = concat_default()(n = "".concat(u)).call(n, c)).call(r, f)),

                    x10: l

                };

                e.headers["X-S-Common"] = encrypt_b64Encode(encrypt_encodeUtf8(stringify_default()(d)))

            } catch (h) {}

            return e

        }

//提炼参数如下:

{

    "s0": 5,

    "s1": "",

    "x0": "1",

    "x1": "3.6.8",

    "x2": "Windows",

    "x3": "xhs-pc-web",

    "x4": "3.23.1",

    "x5": "186d30820a4m09cb6glhxe1aqks2olv1l97ow1gun50000408882",

    "x6": 1704412623681,

    "x7": "XYW_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",

    "x8": "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",

    "x9": -850196713,

    "x10": 137

}

参数分析如下:

s0: getPlatformCode(o),

固定值,web端为:5

s1: "",

固定值,web端为:空

x0: p,p = localStorage.getItem(RC4_SECRET_VERSION_KEY) || RC4_SECRET_VERSION

固定值,web端为:1

x1: version,    

固定值,版本号,当前版本为:"3.6.8",

 "x2": o || "PC",

固定值"Windows",,表示平台类型。

x3: "xhs-pc-web",

固定值,程序类型

x4: "3.23.0",

固定值,内部版本号

x5: js_cookie.Z.get(LOCAL_ID_KEY),

该值为:a1,从cookie中获取。

"x6": u,u = e.headers["X-t"] || ""

该值为:x-t,从x-s签名算法中返回。

"x7": c,c = e.headers["X-s"] || ""

该值为:X-s,从x-s签名算法中返回。

x8: f,localStorage.getItem(MINI_BROSWER_INFO_KEY)

该值为:浏览器指纹,每个浏览器值不同,但基本上可以固定不变。

x9: encrypt_mcr(concat_default()(r = concat_default()(n = "".concat(u)).call(n, c)).call(r, f)),

可以简化如下:

let mcr=encrypt_mcr(xt+xs+b1);

该值为:x6+x7+x8的加密。

x10: l=getSigCount()

该值为:调用x-s-common的计数值。

————————————————

3、加密函数

e.headers["X-S-Common"] = encrypt_b64Encode(encrypt_encodeUtf8(stringify_default()(d)))

stringify_default()实际上是:JSON.stringify(d))

4、使用encrypt_mcr算法对数据进行加密。

————————————————

                           

5、对数据进行加密并使用Base64编码。

6、对数据进行加密,并使用UTF-8编码。

7、比较测试结果中的x-s-common参数。

  • 对点赞API接口进行测试。

该点赞api接口需要使用x-s-common签名参数,如果没有这个参数的话,点赞操作就无法成功。

1、以下是Node.js编写的点赞API接口源代码:

const https = require('node:https');

//----------------------------------------------调用模块初始化----------------------------------------------------

const m_common_data = require('./x-s-common.js');//X-S-Common签名

const m_xs_data = require('./xs.js');//X-S签名

//mode by wx:byc6352 in 2024-01-05

//-----------------------------------------------------------------------------------------------------------------------

set_lick(true);//true为点赞,false为取消点赞



async function set_lick(b){

    let url="";

    if(b)

        url="https://edith.xiaohongshu.com/api/sns/web/v1/note/like";

    else

        url="https://edith.xiaohongshu.com/api/sns/web/v1/note/dislike";

    let path=url.replace("https://edith.xiaohongshu.com","");

    let data={"note_oid":"649ce312000000000800edcd"};

    let data_str=JSON.stringify(data);

    let a1="18cb6c8af05699x2fcmw6t6jwq9yi8kjhc6ge611l50000415372";

    let o=await m_xs_data.get_xs(path,data_str,a1);

    var xs=o["X-s"];

    var xt=o["X-t"];

    let x_common=m_common_data.get_common(a1,xt,xs);

   

    let traceid=m_common_data.get_traceid();



    let headers={

        "authority":'edith.xiaohongshu.com',

        "method":'POST',

        "path":path,//'/api/sns/web/v1/note/like',

        "scheme":'https',

        "Accept":'application/json, text/plain, */*',

        //"Accept-Encoding":'gzip, deflate, br',

        "Accept-Language":'zh-CN,zh;q=0.9',

        "Content-Length":data_str.length,//'39',

        "Content-Type":'application/json;charset=UTF-8',

        "Cookie":cookie,

        "Origin":'https://www.xiaohongshu.com',

        "Referer":'https://www.xiaohongshu.com/',

        "Sec-Ch-Ua":'"Not_A Brand";v="8", "Chromium";v="120", "Google Chrome";v="120"',

        "Sec-Ch-Ua-Mobile":'?0',

        "Sec-Ch-Ua-Platform":'"Windows"',

        "Sec-Fetch-Dest":'empty',

        "Sec-Fetch-Mode":'cors',

        "Sec-Fetch-Site":'same-site',

        "User-Agent":'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36',

        "X-B3-Traceid":traceid,//'0b0b047c4d54393b',

        "X-S":xs,

        "X-S-Common":x_common,

        "X-T":xt,

    }//

    const options = {

        hostname: 'edith.xiaohongshu.com',

        port: 443,

        path: path,

        method: 'POST',

        headers: headers

    }

    let req = https.request(url,options, (res) => {

        console.log(`STATUS: ${res.statusCode}`);

        console.log(`HEADERS: ${JSON.stringify(res.headers)}`);

        res.setEncoding('utf8');

        var body="";

        res.on('data', (chunk) => {

            body=body+chunk;

        });

        res.on('end', () => {

            try {

               console.log(body);

            }catch (e){

                console.error(e);

            }

        });

        res.on('close', () => {



        });

    });



    req.on('error', (e) => {

        console.error(`problem with request: ${e.message}`);

    });

    req.write(data_str,'utf8');

    req.end();



}
  1. 接口执行顺利。

 技术支持:

6Zeu6aKY5ZKo6K+i77yadng6bWp4MjA4NDQ3NDcwNDtRUToyMDg0NDc0NzA0(base64解码

测试成功!

KHSSD
关注
  • 14
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
小红书x-s、x-s-common加密算法(补环境版本)
03-14
zip包内是小红书的补环境版本X-s、X-s-Common参数的加密生成算法,独立JS文件,文件末尾有调用测试示例。另外可以直接使用Python脚本进行测试,稳定可用!项目内README.md文件内有详细的项目开发流程描述与介绍、安装部署步骤与详细流程、还有配置文件的详细解释!小白新手同样能够根据温度描述快速上手完成部署!有任何问题可以联系作者
2024某书最新x-s-common签名算法分析以及点赞api接口测试nodejs(2024-01-05)
byc6352的专栏
01-05 2427
2024小红书最新x-s-common签名算法分析以及点赞api接口测试nodejs(2024-01-05)
手把手教你搭建:2024最新9.9付费进群程序(独家定位版本)有疑问找客服(附源码)
qq_72290695的博客
06-05 885
云服务器基于虚拟化技术,运行在由多台物理服务器组成的集群上,这些集群构成了云基础设施。如果对宝塔的安全性有疑虑,应保持软件更新、更改默认设置、限制访问、监控日志、使用安全插件,并定期备份数据。裸金属服务器和独立服务器则提供了更高的性能和控制权,适合对性能有严格要求的应用。这提供了更高的性能和更大的控制性,适合对性能有极高要求的应用场景。对于预算有限的用户,淘宝上的小厂服务器虽然价格合适,但超售严重,性能可能无法满足需求。到公众号以后,只要打开系统链接,就可以自动付费,自动进群。
php使用内置的mcrypt_encrypt和mcrypt_decrypt进行字符串加密解密
weixin_30718391的博客
09-19 86
<?php /*****************************加密*******************************/$key = "miyao";//密钥$string="jiami";//需要加密的字符//自带的加密函数$crypttext = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($key),...
php mcrypt_encrypt 解密后字符串长度,php aes加解密,mcrypt_encrypt 和openssl_encrypt
weixin_42525261的博客
03-20 261
php7.1如下版本使用php/** mcrypt_encrypt 加密* php7.1开始被丢弃 可使用openssl_encrypt* */function aes_encrypt($content){$privateKey = "abcdef1234567890";$iv = "helloworld123456";$content = $this->pkcs7_pad($content...
xhs列表页全流程解析
rni88的博客
11-30 4755
分析过程中发现,代码中的每一步都经过这儿,每一个字符的打印都是在这儿,所以payload参数内容一定就在生成之前上一步。这里有一个小细节,只有_ace_66的值为图上这种值时才能hook上,具体原理不知道,有知道的大佬可以告诉我。hook到这儿,突然发现打印出来加密b64之前的参数了,我们找的也是这个参数,现在这个栈也没必要分析了。hook一下_ace_936更好,但是这个参数不是全局变量,没法hook,只能hook这个列表中的参数。进入加密代码,没有找到任何有价值的东西,只找到后加密参数返回的地方。
【2023-06-05】某书xsxt
热门推荐
骑毛驴的猴的博客
10-08 1万+
包含内容 cookies的生成 x-s、x-t、x-b3-traceid的生成 整个登入流程以及测试的几个接口
基于NodeJS开发钉钉回调接口实现AES-CBC加解密
10-14
总之,在NodeJS中实现钉钉回调接口的AES-CBC加解密涉及到理解加密算法、使用CryptoJS库以及遵循钉钉的加密规则。通过这种方式,你可以确保在与钉钉平台交互时数据的安全性,例如处理通讯录变动或审批流程的回调事件...
nodejs的HTML分析利器node-jquery用法浅析
10-21
主要介绍了nodejs的HTML分析利器node-jquery用法,简单分析了node-jquery的功能并结合实例说明了node-jquery控制台输出信息的操作技巧,需要的朋友可以参考下
tau-pact-nodejs-course:为测试自动化大学课程创建的Pact NodeJs项目
04-30
测试自动化大学课程的PactJS项目一个简单的Nodejs + Jest项目,使用PactJS配置合同测试如果您按照这些在本地运行pact代理,则可以运行提供程序并按原样发布,否则,您需要将pactUrl修改为本地路径,并且如果您将...
node-v16.9.1-x64.msi
10-09
而对于需要独立运行的JS,nodejs就是一个解析器。 每一种解析器都是一个运行环境,不但允许js定义各种数据结构,进行各种计算,还允许js使用允许环境提供的内置对象和方法做一些事情。如运行在浏览器中的js的用途...
node-bluetooth-serial-port:用于NodeJS的蓝牙串行IO
02-04
Node.js的蓝牙串行端口通信已弃用目前,我还没有计划添加对nodejs 1.13及更高版本的支持。 如果您想通过添加支持来提供帮助,请与我联系。 维持这个项目将近8是一次很棒的经验。 很高兴看到人们介入以改善这个项目...
最新:js逆向之xhs jsvmp逻辑分析X-S
weixin_44691004的博客
05-24 4360
(2)可以发现在第一步字符串最初生成的地方含有一个新的明文字符串,首先怀疑加密字符串由该明文字符串加密生成,具体为jsvmp里的自写加密逻辑又或者是常见的加密呢,通过逻辑分析,拿了该字符串的length和取charcode,且加密出来的字符串通过多次重试,不同的明文,部分相同,且长度不为32*n。可是大人,时代变了。最后说一下,能看到这篇文章的,都是对爬虫感兴趣,又有兴趣去做采集的,相对来说,本文所说到的加密解密还是比较适合新手的,之所以这么说,等到你安安静静去分析时你就会恍然大悟,原来只是这样。
c# 通过webView2模拟登陆小红书网页版,执行关键字搜索,以及解决X-s,X-t,X-S-Common签名验证【20235月8日】
byc6352的专栏
05-08 4457
c# 通过webView2模拟登陆小红书网页版,执行关键字搜索,以及解决X-s,X-t,X-S-Common,x-b3-traceid签名验证。日期:2023-5-8
36. Adam 算法详解
最新发布
qq_41238579的博客
07-10 652
Adam(Adaptive Moment Estimation)是一种结合动量法和自适应学习率的优化算法,自2014提出以来,迅速成为深度学习中最流行和常用的优化算法之一。Adam算法的核心思想是利用梯度的一阶动量和二阶动量来动态调整学习率,既保持了动量法的优点,又结合了RMSProp的自适应学习率特性。
D1.排序
2302_79232710的博客
07-07 184
快速排序和归并排序
【力扣】数组中的第K个最大元素
m0_61876562的博客
07-05 300
l, left](该部分小于基准元素key)、[left + 1, right - 1](等于基准元素key)、[right, r](大于基准元素key)。3、计算每部分所包含的元素个数,分别为a 、b = right - left - 1、 c = r - right + 1;请注意,你需要找的是数组排序后的第。你必须设计并实现时间复杂度为。个最大的元素,而不是第。1、随机选择基准元素。
vue -cli.docx
04-16
vue -cli.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值