2023年最新京东sign签名算法分析

已于 2023-08-08 15:07:12 修改
阅读量2.8w 收藏 85
点赞数 10
分类专栏: 逆向笔记 文章标签: 算法 网络安全 java android
于 2022-03-10 11:21:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/danran550/article/details/123394841
版权

一.准备好工具

用到工具如下

1.最新版本APP (下载地址 https://www.wandoujia.com/apps/279987
2.jadx java逆向工具(下载地址https://github.com/skylot/jadx
3.ida逆向工具(自行百度)
4.Fiddler 抓包工具 (自行百度)
5.安卓手机一台

二.初步分析

1.先在手机下载好最新app,然后配置好fiddler手机抓包,网上很多配置抓包教程,这里不详细说了。

2.在app随便搜索一个商品试一试,发现有sign签名,并且含有部分重要信息,之后会用到

参数含义
functionId搜索接口名字
clientVersionapp版本
client手机类型
st时间戳
sv签名算法
body请求的数据

在这里插入图片描述

三.逆向APP分析源码

1.直接jadx打开app查看代码,查找了好久发现了一个比较相关的地方

根据上面日志输出的分析
sgin签名 计算涉及到了接口的这几个参数
functionId,body,uuid,client,clientVersion
在这里插入图片描述

String signature = JDHttpTookit.m20863WV().mo68383Xd().signature(JDHttpTookit.m20863WV().getApplicationContext(), functionId, str, str2, property, versionName)

其中的uuid 大概意思应该就是获取设备ID
在这里插入图片描述

2.进去加密方法体里面继续分析

方法体里面是这样子的,是个接口,既然有接口肯定有实现,继续查找
在这里插入图片描述
找到一个有点像样的,刚好也是5个参数
在这里插入图片描述
关键代码

BitmapkitUtils.getSignFromJni(context, str, str2, str3, str4, str5);

继续进去方法体分析
在这里插入图片描述
这段代码大概意思是 getSignFromJni 这个加密方法 是调用了jdbitmapkit.so里面的代码

 ReLinker.loadLibrary(JdSdk.getInstance().getApplication(), "jdbitmapkit");

3.找出jdbitmapkit.so文件

直接压缩软件打开app,搜索,找出文件
在这里插入图片描述

四.逆向分析libjdbitmapkit.so 文件

1.直接上IDA,把文件拖进去

在方法sub_127E4 找到关键词sign=
在这里插入图片描述
方法里面也刚好有uuid,body,st等关键词,确认是这个没错了
在这里插入图片描述

2.查看ida的代码分析一下算法,并且用java还原
在这里插入图片描述
收工

技术交流QQ 53461569

danran550
关注
专栏目录
京东 APP 的 sign 算法以及请求库
10-24
仅做逆向学习交流使用,请勿用于非法用途,任何单位或个人因除学习交流外使用而直接或间接产生的任何侵权、违法后果,作者不承担任何法律责任。
最新最详细京东h5st v4.7.4纯算法分析
qq_44990881的博客
08-30 362
最新 京东h5st (4.8.2) localTk fp算法
最新发布
m0_60416683的博客
09-11 2137
在电商数据分析领域,京东平台的数据具有重要的研究价值。其中,京东 H5ST 相关的加密参数在数据获取过程中扮演着关键的角色。当深入研究京东接口时,我们发现 H5ST 参数的生成和加密机制复杂而独特。对其接口进行细致分析以及对加密过程进行逆向推导是获取有效数据的重要途径。
本篇分享京东 h5st4.8.2的生成方式以及逆向的经验
kevinsir2003的博客
07-24 1万+
h5st4.1算法生成逻辑
最新京东web端h5st4.2/4.3算法分析
AnglerS的博客
10-13 5885
最近在202310.10 JD偷偷在M端更新了H5st4.2算法,今天我就在这里以m端搜索接口为例子分析一下给大家学习把代码组合测试一下,成功获取数据,收工技术交流 5LyB6bmFNTM0NjE1Njk=(base64解码)
京东协议算法最新
jmm18363027827的博客
11-01 3180
这边提供一个思路,因为实现的话肯定要使用同样的函数名,返回值以及参数,所以可以尝试直接搜索,例如当前函数定义为。的时候不知道为什么会报这样一个错误,并且也没有堆栈,因为还是小白,暂时不知道如何解决。这个函数吧,因为这个函数是没有返回值的,所以我们尝试输出一下调用前与调用后的。(这种情况,我们一般。是一个可变参数方法,它的第二个参数是可变参数,用于进一步描述我们所构造的这个。不到,因为位置不正确,实际调用的是其实现类的那个函数,不信你可以试试!字段,但是找不到,所以报了上述的错误,那么我们就需要重写。
京东 APP SIGN算法分析
热门推荐
神马都是浮云's blog
09-18 1万+
针对同一款商品进行两次访问,发现唯一的不同只有st、sv、sign三个数值, st是当前时间,sv代表选了哪一种算法sign是计算后的最终签名。 反编译APK代码一步一步跟踪到具体的SIGN计算方法,发现最终的调用的是一个SO文件的Native方法,进一步反编译SO文件,没想到SO文件竟然还被加了壳。 对SO文件脱壳后,选择其中一个SV计算方式,对SIGN计算逻辑进行分析,用JAVA对该...
微信公众号前端签名算法sign.js
04-26
需要微信公众号签名算法的可以在这里下载下来,sign.js,使用方法已经在我博客里面提及到,敬请下载
MD5加密+签名算法Sign生成 工具类
08-04
这个"MD5加密+签名算法Sign生成工具类"是为开发者提供的一种便利,避免了手动编写复杂的加密和签名逻辑。它可能包含以下功能: 1. **MD5加密**:对输入的字符串进行MD5哈希运算,返回32位的MD5值。在登录场景中,...
java代码-// 保存京东到家sign签名代码
07-15
总之,Java代码中的签名生成是为了确保京东到家API调用的安全性,通过一套固定的签名算法和私钥,可以有效地防止数据被篡改和伪造。开发者需要在客户端和服务器端都正确实现和使用这一机制,以保证系统的稳定运行。
贵高速小程序sign签名算法.e
03-31
贵高速URL中的sign签名算法,仅供学习参考,切勿用于非法用途。
易语言-京东安卓版 Sign 生成 加 商品详情页 访问例程
06-26
首先声明: 此demo是调用的公共接口 ,有调用时间的限制,介意请不要下载哈~~~ 一共是5个参数,分别是 functionId, body的JSON数据,uuid,外加2个固定参数 调用接口返回 st sign sv 三个参数 这样就可以正常访问 JD android版商品页面啦
jd-sign
03-21
特别声明:“ TB和XY上的许多人被夺利,这种只顾自己而不顾别人的做法,风险太高只好将库跑路了。此类垃圾公然收集他人账号以及大量信息,欢迎大家向平台举报。”希望各位去抵抗制此类行为。 特别声明: 本仓库发布的MyActions项目中涉及的任何解锁和解密分析脚本,仅用于测试和学习研究,禁止用于商业用途,不能保证其合法性,准确,可行和有效,请根据情况自行判断。 本项目内所有资源文件,禁止任何公众号,自媒体进行任何形式的转载,发布。 wuzhi01对任何脚本问题概不负责,包括但不限于由任何脚本错误导致的任何损失或损害。 间接使用脚本的任何用户,包括但不限于建立VPS或在某些行为上违反国家/地区法律或相关法规的情况下进行传播,wuzhi01为可能引起的任何泄漏或其他后果概不负责。 请勿将MyActions项目的任何内容用于商业或非法目的,否则后果自负。 如果任何单位或个人认为该项目的脚本可能涉嫌
JD_Sign_Action:基于github actions的京东自动化签到
05-11
基于github action的京东自动化签到 介绍 使用NobyDa “京东多合一签到脚本”为基础,移植到github actions自动化执行。 触发方式 点亮Star 凌晨4点定时执行 自定义:.github/workflows/work.yaml 编辑 使用用法 点击右上角 Fork 项目; Settings -> Secrets 中添加京东cookie、Server酱SCKEY JD_COOKIE:京东cookie PUSH_KEY:Server酱SCKEY 点击Star,任务会自动执行,运行进度和结果可以在Actions页面查看; 当任务运行完成时,会将运行结果和错误信息打包到Artifacts,可自行下载查看; 获取京东cookie 使用项目中的Chrome插件:JDCookie Chrome中拓展程序开启开发者模式; 点击加载已解压的拓展程序,选择JDCookie目录; 登
京东jdgs算法sign算法
kevinsir2003的博客
09-30 2242
生成B1-B7算法
京东JD App签名/加密算法研究
weixin_48731086的博客
03-07 3245
1.签名算法 (1)http://pay.m.jd.com/index.action?functionId=genAppPayId&clientVersion=7.4.2&build=65312&client=android&d_brand=Xiaomi&d_model=MI5sPlus&osVersion=8.0.0&screen=1920*1080&partner=xiaomi001&androidId=[androidId]&am
某东JDGS算法 【需求】
qq_33167642的博客
06-02 1271
B1-B6。
2023最新京东web端h5st3.0/3.1/4.1/4.2算法分析
AnglerS的博客
02-26 1万+
最近无聊研究某东网页发现多了个h5st加密参数,在这里分析一下逆向步骤,跟大家共同学习。h5st加密,其实比较关键的也就第2段和第8段,其他基本都是明文,不难解决,最后尝试了一下算法用易语言还原出来,结果完全可以用难度不大技术交流QQ:53461569。
京东 Wskey 转 cookie 转换服务搭建教程
h394047464的博客
09-03 8730
docker 版本京东wskey cookie转换服务搭建教程
php sign签名算法
05-31
PHP的签名算法通常使用哈希算法和加密算法来实现。下面是一个简单的示例代码: ```php $data = array( 'param1' => 'value1', 'param2' => 'value2', 'param3' => 'value3' ); // 将参数按照字典序排序 ksort($data); // 将参数拼接成字符串 $str = ''; foreach ($data as $key => $value) { $str .= $key . '=' . $value . '&'; } $str = rtrim($str, '&'); // 使用MD5算法生成摘要 $digest = md5($str); // 使用RSA算法生成签名 $privateKey = openssl_get_privatekey(file_get_contents('/path/to/private.key')); openssl_sign($digest, $signature, $privateKey, OPENSSL_ALGO_SHA256); $signature = base64_encode($signature); // 将签名加入参数中 $data['sign'] = $signature; ``` 在这个示例代码中,首先将参数按照字典序排序并拼接成字符串,然后使用MD5算法生成摘要。接着使用RSA算法生成签名,并将签名加入参数中。最后发送请求时,将参数和签名一起发送到服务器端,服务器端通过验证签名的方式来确认请求的合法性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值