【JS逆向学习】麻章区 cookie 反爬

最新推荐文章于 2024-12-05 14:57:50 发布
最新推荐文章于 2024-12-05 14:57:50 发布
阅读量1.1k 收藏 6
点赞数 7
分类专栏: javascript 文章标签: javascript 学习 开发语言 mazhang js 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andrew_wf/article/details/136295428
版权
本文介绍了如何通过逆向分析网络请求,重点关注X-CSRF-TOKEN和cookie,特别是CSRF令牌的获取方法以及Set-Cookie的位置,以实现目标操作。
摘要由CSDN通过智能技术生成
逆向目标
  1. 网址:http://www.zjmazhang.gov.cn/hdjlpt/published?via=pc
  2. 接口:http://www.zjmazhang.gov.cn/hdjlpt/published?via=pc
  3. 参数:cookie
逆向分析

先来过滤网络请求XHR,然后观察各请求的结果
在这里插入图片描述
接下来就简单了,直接在目标接口右键——>copy——>Copy as Curl,如下
在这里插入图片描述
然后打开网站https://spidertools.cn/#/curl2Request,粘贴上述拷贝的内容
在这里插入图片描述
观察右侧python request请求,有两个地方需要我们关注

# 1、headers参数
"X-CSRF-TOKEN": "6akKBHPzROUAHgMu28EkI9lZuylnviLWqnqel6o6"

# 2、cookies
cookies = {
    "XSRF-TOKEN": "eyJpdiI6ImtmdXhKckdva0xlcVFKZk5HbTR3R1E9PSIsInZhbHVlIjoieU9mM0xRNzVSWmVJNkdKZVh4clRwV2hKY0w1YW52YzUzcUp6a0ZRQWlLbjEwTzhJTWtrV0dpR0xDWjI2TUZWdiIsIm1hYyI6IjM0YWUxYWQzMWM4YzJkNTVkYjI0OTU1MzYyNTVjZTEyMWRlYjZiOWY0ZjMxMGIzMTlkZWE4MDVmNzBiNDllM2YifQ%3D%3D",
    "szxx_session": "eyJpdiI6Ikpyc1hQaWMxMFpMdkVISG1FbWpjZ3c9PSIsInZhbHVlIjoiMFJiM0RTdkcrcEowUkJobHhMTnR4aldhVGk0cytLMU1BNDBQejNIZE5pOXJpbVF0ZXI5T2NqMExJSXNuMGwyMSIsIm1hYyI6IjcxODJjMTFlNWNmY2Q5YWNkMjczMzYwMjY2NTU2NzRmZTAwMzI0NWU4NmZjZTI5NjMxOTc5MDkwMDA4NzQyMDMifQ%3D%3D"
}

对于XSRF-TOKEN的介绍大家可以阅读文章跨站请求伪造(CSRF)攻击了解一下,这个参数一般定义在源码中,cookies肯定是在其他请求中返回了Set-Cookie
我们先来看CSRF参数,直接全局搜索
在这里插入图片描述
可以使用正则从响应文本中提取,接下来看下cookie

在这里插入图片描述
直接从响应headers里获取Set-Cookie的值

逆向结果

至此,本次分析就全部结束了,需要注意的就两点,一是CSRF的值,二是cookie的设置位置,清楚了这两点,就可以实现我们的目标了

诗雅颂
关注
专栏目录
js逆向案例-css字体反爬
十一姐的博客
01-06 2945
目录一、反爬点二、反爬分析1、js逆向解密响应参数2、css字体伪元素分析 一、反爬点 响应参数js加密, css字体伪元素隐藏 二、反爬分析 1、js逆向解密响应参数 突破入口,响应数据里面有个eval,所以直接hook eval hook eval步骤1:先根据堆栈回溯打上断点,然后刷新网页断在send断点这个位置,然后控制台输入hook_eval的js,然后取消send的断点,然后F8调试进入下一步 步骤2观察:此时已经hook住,断点停在了此位置,这里即给window的一个属性进行了
同花顺动态Cookie反爬JS逆向分析
吴秋霖的博客
10-19 9350
某花顺股票行情网站Cookie反爬JS逆向分析实战,获取动态Cookie
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 9326
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
JS逆向---cookie反爬虫系列(阿里系逆向-实战解析)
m0_52336378的博客
10-18 3319
Cookie 反爬虫指的是服务器端通过校验请求头中的 Cookie 值来区分正常用户和爬虫程序的手段,这种手段被广泛应用在 Web 应用中。这次主要是对各类cookie值加密的网站情况进行分析学习响应cookie和session的处理学习基于首页返回的cookie值声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。
JS逆向---cookie反爬虫破解技术实战案例分析(某地zf网站)
m0_52336378的博客
10-14 2066
Cookie 反爬虫指的是服务器端通过校验请求头中的 Cookie 值来区分正常用户和爬虫程序的手段,这种手段被广泛应用在 Web 应用中。这次主要是对各类cookie值加密的网站情况进行分析学习响应cookie和session的处理学习基于首页返回的cookie值声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。
django中csrftoken跨站请求伪造的几种方式
Python热爱者的博客
11-30 323
1.介绍 我们之前从前端给后端发送数据的时候,一直都是把setting中中间件里的的csrftoken这条给注释掉,其实这个主要起了一个对保护作用,以免恶意性数据的攻击。但是这样直接注释掉并不是理智型的选择,这里我们介绍以下几种方式来解决这个问题。 csrf原理:先发送get请求,在用户浏览器上藏一段随机字符串,发送post请求时,浏览器自动携带该字符串来进行识别 2.方式一 在前端中添加{% c...
X-CSRF-Token
热门推荐
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
python cookie反爬处理的实现
12-16
在爬虫中如果遇到了cookie反爬如何处理? 手动处理  在抓包工具中捕获cookie,将其封装在headers中  应用场景:cookie没有有效时长且不是动态变化 自动处理  使用session机制  使用场景:动态变化的cookie  ...
Javascript逆向分析+Cookie加密+补环境+逆向学习
02-22
JavaScript逆向分析、Cookie加密、补环境搭建、逆向学习等技术和方法相互交织,共同构 成了一个丰富而复杂的学习和研究领域。深入探索这些领域,将有助于我们更好地理解和运用JavaScript编程,提升自身的反混淆能力...
(五)Python反爬实战---JS反爬之某网站cookie反爬
郑德帅
08-03 769
   python反爬经验实战,适合小白入门,新手提升,大牛晋升。包含本人目前遇到反爬汇总,文章一周2-3篇,为了质量考虑,更新较慢,敬请谅解。购买专栏私信博主加微信,可无偿提供学习辅助。 考虑到新手朋友,博文会讲得较细,高手的话对于一些简单部分可快速略过即可. JS反爬之某网站cookie反爬1 portal-sign参数 1 portal-sign参数 ...
CSRF Token 原理
weixin_52268321的博客
07-29 564
CSRF 攻击成功的关键是,恶意网站让浏览器自动发起一个请求,,正常网站拿到 cookie 后会认为这是正常用户,就允许请求。
request保持会话,寻找set-cookie获取数据
qq_39138295的博客
04-12 8897
今天遇到了 一个比较烦人的问题,爬取一个网站的时候,登陆返回的cookie和通过抓包获取的数据的cookie不一样,其中有个参数,找了半天,没找到。 网址:https://i.keking.cn/user_index.html 登陆返回的cookie是这个样子: acw_tc=2f624a7115548746919093682e53ca410b002b05e6d61724dbcfaaa50d...
Js逆向-猿人学(2)动态cookie
李玺
01-21 1889
题目二:提取全部5页发布日热度的值,计算所有值的加和,并提交答案。 地址:http://match.yuanrenxue.com/match/2 本题简单看了一下,是动态cookie的问题。 不管什么难度,第一件事就是抓包,打开控制台从隐私页面进入(无缓存cookie的页面) 通过数据包能看到第一次请求时,index页面请求了两次, 对比一下,可以发现第二次的请求中多了cookie,m即是我们要获取的参数。 然而控制台第一次请求后响应并没有set-cookie, 那么说明其实是有响应内容的,我们以代
python csrf token_python爬虫如何获取X-CSRF-Token
weixin_39957647的博客
12-08 2218
headers3 = {"Accept": "application/json, text/javascript, */*; q=0.01","Accept-Encoding": "gzip, deflate","Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","Connection":...
【Vue3】详解Vue3的ref与reactive:两者的区别与使用场景
最新发布
万物皆有灵
12-05 834
Vue 3的响应式系统采用了Proxy对象,相较于Vue 2的Object.defineProperty,具有更高的性能和更好的灵活性。响应式系统的核心在于将数据对象包装为Proxy,通过拦截数据的读取和设置操作,实现数据变更的追踪和视图的自动更新。响应式API的核心组件reactive:用于创建一个响应式的对象,适合用于复杂的对象和嵌套数据结构。ref:用于创建一个响应式的基本数据类型,或者在需要时包裹复杂对象。computed:用于创建基于响应式数据的计算属性。watch。
JAVAWeb之javascript学习
12-01 503
1. 内嵌式:在head中,通过一对script标签引入JS代码;cript代码放置位置有一定的随意性,一般放在head标签中;2.引入外部js文件 在head中,通过一对script标签引入外部JS代码;注意:1.一个html文件中可以有多个script标签2.一对script标签不能在引入外部js文件同时定义内部脚本3.script标签如果用于外部js文件,中间不要有任何字符包括空格和换行。
uni-calendar多选,不是选择范围
weixin_58431406的博客
12-04 141
uni-calendar日历,弹窗模式,日期多选,选择后的日期使用标签回显,标签回显格式:[{date:"2024-12-17",info:"已选择"},{date:"2024-12-24",info:"已选择"}]
9.在 Vue 3 中使用 OpenLayers 加载 Bing 地图示例(多种形式)
小彭的博客
12-04 703
随着地理信息技术的不断发展,地图应用在现代项目中的需求也日益增长。Bing 地图提供了高质量的地图服务,包括矢量、卫星和混合标记等多种类型。OpenLayers 是一款强大的开源地图框架,能让我们在项目中轻松实现地图加载与交互。本文将介绍如何在Vue 3项目中使用OpenLayers加载 Bing 地图,并通过 Vue 3 的实现灵活的地图类型切换。通过本文,我们了解了如何在 Vue 3 中结合 OpenLayers 加载 Bing 地图,并实现了地图类型的动态切换。
JavaScript逆向分析技术:Cookie加密与环境搭建
资源摘要信息:"Javascript逆向分析+Cookie加密+补环境+逆向学习" 1. Javascript逆向分析: 在互联网安全领域中,JavaScript逆向分析技术是用于剖析和理解前端代码逻辑的重要技术。JavaScript代码经常被用于网页交互...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

诗雅颂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值