JS逆向实战5--JWT TOKEN x_sign参数

最新推荐文章于 2024-04-27 21:25:57 发布
最新推荐文章于 2024-04-27 21:25:57 发布
阅读量906 收藏 1
点赞数
分类专栏: JS逆向 文章标签: python 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zuko_chen/article/details/131332619
版权
本文介绍了JWT(JSONWebToken)作为安全传输信息的标准,特别是在无状态HTTP协议下用于身份验证和授权的优势。文章通过抓包分析展示了如何获取和伪造请求头中的X-SIGN参数,该参数通常涉及JWT的加密过程,通过MD5加密生成。文章还提到了在爬虫场景中JWT的应用和重要性。
摘要由CSDN通过智能技术生成

声明

本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!

什么是JWT

JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串

JWT用来做什么?怎么来的?

由于http协议是无状态的,所以客户端每次访问都是新的请求。这样每次请求都需要验证身份,传统方式是用session+cookie来记录/传输用户信息,而JWT就是更安全方便的方式。它的特点就是简洁,紧凑和自包含,而且不占空间,传输速度快,而且有利于多端分离,接口的交互等等
JWT是一种Token规范,主要面向的还是登录、验证和授权方向,当然也可以用只来传递信息。一般都是存在header里,也可以存在cookie里。

爬虫

为什么要介绍jwt呢 因为这次本人爬取的网站就需要token headers里面传了一个x-sign的值
话不多说直接进行分析

抓包分析


由上图可以看到,这个包就是外面所需要的数据
然后看他的请求参数和请求头


由分析可知,我们可以看到 这有些变量是需要我们去伪装的 比如请求体里的时间戳
比如这个x-sign

寻找断点

因为这个headers加密 所以我们直接进入堆栈中找请求参数

我们通过翻页进入断点

由此可知这个确实是请求所需参数 但是x-sign还没由生成
我们不停的打断点 找到这个值

这个过程需要耐心
其实我们如果了解JWT 看到x-sign的值就应该敏感 直接搜JWT 就能搜到
然后再打几个断掉 找到加密参数的地方

分析参数

由上述图所知,我们需要传一个参数进去 ,其他值随笔伪装伪装即可
我们反推参数找到下面这段代码

我们看到这个值 可以确定 是用这个值然后通过md5加密 最后得到Headers的值的

始識
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JWT原理与基本使用
qq_40224163的博客
01-12 277
jwt原理解析与实现
auth-jwt:一个通过逆向工程学习JWT的演示
02-05
通过逆向工程学习JWT的演示 如何使用它 转到的(或在您的本地计算机上运行它:clone > npm install-> npm start) 玩转配置 阅读每页的提示,获得更多资源,以深入了解概念 文献资料 如果您想扩展代码以获得更多功能, 参考文献 关于代币 密码学 使JWT失效 只需从客户端删除令牌 创建令牌黑名单 只需保持令牌到期时间短并经常轮换它们即可 应急计划:允许用户使用其登录凭据更改基础用户查找ID 当用户更改密码时,使令牌失效的一种常见方法是使用密码的哈希值对令牌进行签名。 因此,如果密码更改,则任何先前的令牌将自动无法验证。 您可以通过在用户记录中包括上次注销时间,并
JWT(JSON Web Token) 原理介绍
最新发布
BASK2311的博客
04-27 818
JWTJSON Web Token 的缩写,是一种开放标准(RFC 7519),即基于 JSON 对象的编码,并通过这个编码传递信息。JWT 会通过 HMAC、RSA、ECDSA 等算法进行加密。通常利用 JWT 来对用户进行验证,也就是说用户会先请求身份凭证服务器拿到该JWT,然后,只要用户携带这个 JWT 向业务服务器请求资源,如果这个 JWT 是有效的,那么就能获取资源。
JS 生成JWT (代码可直接使用)
A_bad_horse的专栏
11-29 3322
JS 生成JWT (代码可直接使用)
使用JavaScript实现JWT鉴权
Scar的博客
04-12 8235
随着互联网的崛起,对Web服务应用的安全性要求越来越高。在前后端分离的开发模式中,服务端使用特定的加密方式生成token,客户端储存token作为授权传递给服务端,验证身份等信息是保障安全性的一种方式。其中JWTJSON Web Token)这种用于通信双方之间以 JSON 对象的形式传递信息的轻量鉴权方式受到越来越多的开发者喜爱。 什么是鉴权 如果没有鉴权信息,他人能够轻而易举的调用API对我...
spring boot项目如何通过JWT工具生成token以及逆向解密token
AllenLuoYi的博客
06-30 1406
一.什么是JWT? JWT 是一个开放标准,它定义了⼀种⽤于简洁,自包含的用于通信双方之间以 JSON 对象的 形式安全传递信息的方法。 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名,简单来 说: 就是通过⼀定规范来⽣成token,然后可以通过解密算法逆向解密token,这样就可以获取 用户信息 二.首先需要在pom.xml文件中添加相应的依赖 <dependency&g...
nodejs使用JWT(全)
weixin_68658847的博客
01-12 5052
nodejs使JWT(全)
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
5. **权限控制**:JWT的Payload中可以包含用户的权限信息,服务器在处理请求时会检查这些信息,以决定用户是否有权访问特定资源。 在"Webapi_JWT_Authentication-master"项目中,开发者可能已经实现了以上步骤,...
springSecurity-jwt:JWT access_token和refresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessToken和RefreshToken) version1太复杂,无法优化。accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,...
lua-resty-jwtJWT为伟大的Openresty
02-03
标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
JWTJson Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入探讨如何在Spring Boot应用中结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份...
js-jwt:一个简单的JWT模块,用于验证与外部服务的集成
04-29
JS JWT 一个简单的JWT模块,用于验证与外部服务的集成 初始化 // Initialisation const jwt = require ( 'js-jwt' ) ( { url : 'https://my.external-api.com/authorize' , contentType : 'application/json' , headerName : 'Authorization' , headerPrefix : 'Bearer' , onResponse : body => body . token || false } ) 初始化参数 参数 类型 属性 描述 网址 细绳 必需的 外部服务上的url以获取JSON Web令牌 onResponse function(object) -> string or false 必需的 接收对url调用
DIDI-SSI-JWT_validator_viewer:回购JWT_Validator_Viewer。 由NEC开发的DIDI ONG DECODES项目设计
04-15
标题中的"DIDI-SSI-JWT_validator_viewer"是一个用于验证JWTJSON Web Token)的工具,主要服务于DIDI ONG DECODES项目。JWT是一种安全的身份验证机制,它被广泛应用于Web应用的身份验证和授权,因为它提供了轻量级...
JavaScript实现JWT鉴权(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
11-05 348
JavaScript实现JWT鉴权(附完整源码)
JSON Web令牌(JWT
zhongzhh8的博客
01-05 352
参考JWT JWT与cookie+session的区别 服务器端维护登录状态,使用传统Cookie和Session方案,扩展性不好。而 JSON Web TokenJWT)可实现服务器无状态,扩展性好。 先解释一下单点登录的概念:在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如像阿里巴巴这样...
js 解密jwt令牌
weixin_40331613的博客
11-21 4387
1.引入包 jwt-decode.min.js 2.以下是解析jwt令牌方法 //解析jwt令牌,获取用户信息 var getUserjwt = function (jwt) { if(!jwt){ return ; } //解析jwt令牌 var jwtDecodeVal = jwt_decode(jwt); //打印 co...
node.js jwt 封装 token生成 token验证
weixin_48390516的博客
03-09 1505
NodeJS 中如何应用 JWT 首先安装 jsonwebtoken npm install jsonwebtoken --save 引入 jsonwebtoken const jwt = require('jsonwebtoken') 封装 jwt.js // token生成的密匙,根据自己需求定义 const jwtKey = 'dengxiansheng' // token生成函数(jwtSign),有效时间为一个小时 const jwtSign = (data) =>
JS实现签发jwttoken,以及解析token获取值
cweeq的博客
03-07 626
通过js签发jwttoken
NodeJS实现jwt鉴权、文件上传、分页、性能监控和优化
yy
12-16 257
以上的一些类型都是建立在字符数据基础上的,还有一些数据不仅仅只包含字符,还会有其它类型的,比如二进制数据等。无论基于什么客户端环境(如:浏览器、postman、迅雷、或是其它),最基本的也是最重要的就是客户端与服务端之前所使用的。除了我们通常提交的文本字符类型的数据,许多时候在应用中还会提交一些其他格式类型的数据,比如:图片、音频、视频等等。中设置的值,只是告知对方数据的类型,但并不表示数据一定是这个格式的。比如:你的数据是通过。的请求的时候(比如:登录请求) ,服务端可以在返回响应的时候通过。
js-cookie设置token过期时间_详解ASP.NET Core Web Api之JWT刷新Token_实用技巧
06-02
好的,针对您的问题,我可以给您一些关于js-cookie设置token过期时间以及ASP.NET Core Web API之JWT刷新Token的实用技巧。 首先,关于js-cookie设置token过期时间,可以通过以下代码实现: ```javascript // 设置cookie过期时间为1天 Cookies.set('token', 'your_token_value', { expires: 1 }); ``` 其中,`expires`属性表示过期时间,单位为天。 其次,关于ASP.NET Core Web API之JWT刷新Token,可以采用以下方法: 在JWT的payload中加入`exp`属性,表示token的过期时间。当token过期后,客户端需要向服务器发送请求,获取新的token。服务器对于过期的token,可以返回一个特定的状态码,比如401 Unauthorized。客户端接收到该状态码后,可以重新向服务器发送请求,获取新的token。 同时,在服务器端需要实现一个刷新token的接口,接口的功能是根据旧的token生成新的token。具体实现可以参考以下代码: ```csharp [HttpPost("refresh-token")] public IActionResult RefreshToken([FromBody] string token) { // 验证旧的token是否有效 var principal = _jwtService.GetPrincipalFromExpiredToken(token); if (principal == null) return BadRequest("Invalid token"); // 生成新的token var newToken = _jwtService.GenerateToken(principal.Claims); return Ok(newToken); } ``` 其中,`_jwtService`表示JWT的服务类,`GetPrincipalFromExpiredToken`方法用于从过期的token中获取`ClaimsPrincipal`对象,`GenerateToken`方法用于生成新的token。 希望以上内容对您有所帮助。如有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值