Cookie加密6

已于 2022-06-25 21:16:23 修改
阅读量5.8k 收藏 2
点赞数
分类专栏: python 文章标签: 安全
于 2022-06-25 21:13:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fan13938409755/article/details/125451105
版权

目标网址:

aHR0cHM6Ly9zZWFyY2gua29uZ2Z6LmNvbS9wcm9kdWN0X3Jlc3VsdC8/a2V5PSVFNyVCQSVBMiVFNiVBNSVCQyVFNiVBMiVBNiZzdGF0dXM9MCZfc3RwbXQ9ZXlKelpXRnlZMmhmZEhsd1pTSTZJbUZqZEdsMlpTSjk=

直接在开发者工具看首页携带的cookie变化,原来的cookie是:

 这里模拟请求,第一次携带三个cookie是没法返回内容的。

携带的cookie

 加密的关键是randomcode

这里全局搜索:发现加密函数如下:

 重新下断点:

         成功断住,下边开始fiddker模拟请求,发现重新塑造request的js请求后,访问成功但是数据没有访问成功。两次对比,发现网址请求中有个时间戳在变化:

//第一次
key: 红楼梦
status: 0
_stpmt: eyJzZWFyY2hfdHlwZSI6ImFjdGl2ZSJ9
pagenum: 1
ajaxdata: 1
type: 1
ajaxdata: 3
_: 1656124212160

//第二次
key: 红楼梦
status: 0
_stpmt: eyJzZWFyY2hfdHlwZSI6ImFjdGl2ZSJ9
pagenum: 1
ajaxdata: 1
type: 1
ajaxdata: 3
_: 1656126302616

对比两次cookie,几个字段都在变化:

//第一次
randomcodekey=srck25095106235992vl8186
randomcode=095106544682
randomcodesign=Ul7zTaxI0wRjfWzrJKASPrR3LXr1lxfA633382EzQjhMBCYnBkcaLccKFCeI%2F43Jm0XWDa%2Fjt1K62lgIxAZfXQ%3D%3D
acw_tc=276082a316561218664708696e8e1319c2d6b161a0b8ae6d80c96a79ba20b5
TY_SESSION_ID=19a09479-af25-47b9-9c7e-24d28ad4df10
//第二次
randomcodekey=srck25110502685465otd318
randomcode=110502183005
randomcodesign=I8J9dQDdtXSN04NAdd%2B9r4IUDnZnoTdulHbbwk1Tj7G2UJRm6ct1bNcJuD23pUbVvYxEhIavT8Tb19IoffPumw%3D%3D
	acw_tc=276082a016561263023097143ebec60beed6bc71b21fce1a014107e68089da
TY_SESSION_ID=8f5955b7-cf47-4435-adea-ad089ec3e647

,因为第一次请求网址只有模板,没有找到fidder中的返回内容关键的xhr请求

所以第二次请求才是关键。在fidder中抓取内容反馈如下:

上边有四步,第一步请求相当于加载了一个模板,设置了3个cookie,但是 

 第二步请求,虽然没有设置cookie,返回任何请求,但是其实设置了关键字段,有个特征是带cookie访问,这个很重要的提示

第三步带了两个cookie字段,,实际测试是生成了第四步需要的第四个cookie

第四步直接就是带着cookie,返回了json数组

 第四步是最关键的请求,也就是设置的目的。需要的字段需要对比,用fidder模拟请求来测试。

这里补充的知识点是:有的时候hookcookie用插件没用,最好直接用浏览器去hook,猜到cookie的生成位置。

2.有的hook代码能直接在删除,js有两个函数,访问第一个的时候就把控制台你设置的cookie给屏蔽了。

范之度
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python爬虫进阶之巧破RSA加密
Python编程与实战的博客
01-07 3685
一 某团 PASSWORD 参数网址如下:aHR0cHM6Ly9wYXNzcG9ydC5tZWl0dWFuLmNvbS9hY2NvdW50L3VuaXRpdmVsb2dpbg== 下面的抓包的界面: 这里有三个参数是需求构造的,password,csrf(这个简单,从html中获取即可),h5Fingerprint。h5Fingerprint 以前的参数名是 token, 这个今天不演示,有兴趣...
用base64加密解密文件
乘桴游海的专栏
06-16 2万+
用jdk的base64工具加密一副图片, 思路是:先将图片加密,得到加密后的字符串,然后保存到本地磁盘的某个txt文件,然后读出这个文件,将其中的内容独到byte数组中,再解密。得到解密后的字节数组,通过流,写到本地磁盘上,得到一副图片。 加密方法: static String filedc() throws Exception { InputStream is = null; File
PLSQL Developer安装和配置
weixin_45837888的博客
04-12 2万+
PLSQL Developer安装和配置、快捷键设置
base64解码
z997756128的专栏
11-22 9647
NSData*data=[[NSData alloc ]init];     NSString* str = [data base64EncodedStringWithOptions:NSDataBase64Encoding64CharacterLineLength];
Base64编码解码
WJ07040529的博客
12-06 1164
https://www.liaoxuefeng.com/wiki/897692888725344/949441536192576 https://www.jianshu.com/p/e95278ed98b4
php实现cookie加密的方法
10-24
主要介绍了php实现cookie加密的方法,涉及php操作cookie加密、解密及设置等技巧,具有一定参考借鉴价值,需要的朋友可以参考下
cookie加密DES
07-30
NULL 博文链接:https://yangqihong.iteye.com/blog/845707
C#操作cookie,解密加密cookie
01-07
C#操作cookie,解密加密cookie
阿里系cookie加密(acw-sc-v2)算法 ZIP包案例为雪球Cookie加密
最新发布
10-09
ZIP包案例为雪球Cookie加密,使用的阿里系acw_sc__v2。文件含Cookie JS加密算法代码、Python请求Cookie加密算法调用与生成代码实例!代码与算法均有详细注释说明
dig命令的学习
baynk的博客
02-14 3378
在整理SCSP资料时,突然对dig命令很感兴趣,在详细学习dig的过程中同时也将DNS重新回顾学习了一遍。 1.介绍 dig(域信息搜索器)命令是一个在类Unix命令行模式下用于询问 DNS 域名服务器的灵活的工具。它执行DNS搜索,显示从受请求的域名服务器返回的答复。多数DNS管理员利用dig作为DNS问题的故障诊断工具,因为它灵活性好、易用、输出清晰。通常情况下dig使用命令行参数。 D...
502 bad gateway原因、解决方法
热门推荐
zzhongcy的专栏
02-14 12万+
在当今时代,每个人都使用互联网。 通常,在使用 Internet 和访问网页时,计算机和网站之间可能会出现连接问题。 这些连接问题会产生某些错误代码,称为 HTTP 状态代码。 这些代码根据类型分为 1xx、2xx、3xx、4xx 和 5xx。 由于不同的原因,所有 5xx 状态码都是从服务器端收到的。 了解如何修复 Google Chrome 中的 err_connection_reset、err_internet_disconnected、err_network_chang...
DVWA之SQL注入
m0_67392182的博客
09-11 771
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
js逆向-某准网分析及数据解密
逆向新手的博客
10-26 3367
目标网站:接口:随便搜索一个公司,通过抓包分析发现有一个请求中携带了加密参数。 同时,该请求返回的结果是一个密文。 想都不用想,肯定是通过某种加解密方式然后返回到h5页面中。看到这里,需要分析的东西已经知道了。参数、和数据的解密。首先观察这两个参数,直接搜索一下。碰了碰运气,发现果然可以搜索到。点进去寻找一番,发现了疑似加密点的位置。 可以看到这里使用了大量的三目运算符,通过观察下方也可以发现和就是我们要的两个参数。分析后简化代码逻辑,加密参数生成如下: 首先看到a,键入函数。 函数l是一个生成16位随机字
base64
qq_42563807的博客
11-23 2314
base64 base64是一种编码方式,通常用于把二进制数据编码为可写的字符形式的数据。 # 想将字符串转编码成base64, 要先将字符串转换成二进制数据 import base64 url = "https://www.cnblogs.com/songzhixue/" bytes_url = url.encode("utf-8") str_url = base64.b64encode(bytes_url) # 被编码的参数必须是二进制数据 print(str_url) # b'aHR0cH
【面试系列】=>补充 以及ESLint
Write less,do more
11-27 1111
专业技能 1.倒排,把最有价值的排到最上面,如Vue、React,微信小程序等应该排前2位,其它往后排 岗位职责 1.开发相关的描述(分析项目需求和产品原型(axure是产品原型工具,墨刀),搭建项目及设计组件,进行相应的业务逻辑编码和接口调用,配合前端组长对项目代码进行优化,提高代码质量) 2.配合测试相关的描述(配合测试修改Bug,配合产品经理(或者UI工程师)对页面进行优化,对用户体验进行优化) 3.对已经上线项目进行相关的维护(包括添加新功能、新页面、修改线上页面细节问题及bug(Bug从哪里来?从
Python爬虫进阶之某支付网站密码分析
Python编程与实战的博客
02-29 8495
目标网站 aHR0cHM6Ly9hdXRoLmFsaXBheS5jb20vbG9naW4vaW5kZXguaHRt 今日目标网站是我们常用的支付网站,感觉自己有点飘了~~ 这里只解密密码的加密方式,至于其他参数… 请求分析 先看请求,输入账号,密码后点击登录,记得提前浏览器打开 F12 这里注意输入错误的密码,方便我们查看请求数据包 在浏览器的开发者工具界面,快捷键 Crtl+Shift+F 直...
Python爬虫实例:使用requests库和re库爬取某旧书网
Nick的博客
04-11 737
在简单学习和了requests库和正则表达式re库后,尝试使用这两个第三方库完成爬取某旧书网书名价格并打印。但是最终打印结果出现了部分乱序,猜测是正则表达式形式问题。进而在后面学习中,我就感受到了BeautifulSoup库这种解析库和HTMl类的标签语言的好用。 import requests import re #爬取网页数据并解码得到文本 def getHTML(url): tr...
VUE2安装初始化步骤(2022)
m0_67401228的博客
07-28 1117
下载安装node.js,win7使用node.jsv12版的(为目前通用,建议都是用这个版本),win10可以使用最新版本的。CLI至少要求v12版本的。node-v。
Mysql环境变量的配置(详细图解)
Grits的博客
05-07 2万+
MYSQL的环境变量配置,一步步图解,简单易懂
js cookie加密
09-11
因此,从提供的引用内容来看,没有明确的关于JavaScript cookie加密的信息。如果您需要对cookie进行加密,可以使用其他的加密算法或技术,例如AES加密算法或使用HTTPS协议来保护cookie的传输过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值