携程旅行机票 token 滑块 图标点选双重验证 分析

置顶 已于 2024-08-12 15:15:30 修改
阅读量681 收藏 4
点赞数 20
文章标签: 携程旅行 机票 token 机器学习 人工智能 python java
于 2024-08-12 15:07:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ff2766958292/article/details/141131857
版权

声明:
本文章中所有内容仅供学习交流使用,不用于其他任何目的,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

数据集自备,或者打码。

分析过程

"aHR0cHM6Ly9pYy5jdHJpcC5jb20vY2FwdGNoYS92NC9yZWZyZXNoX2ppZ3Nhdw=="

 "J2h0dHBzOi8vaWMuY3RyaXAuY29tL2NhcHRjaGEvdjQvdmVyaWZ5X2ppZ3Nhdyc="

"Imh0dHBzOi8vZmxpZ2h0cy5jdHJpcC5jb20vaW50ZXJuYXRpb25hbC9zZWFyY2gvYXBpL2F1dGhjb2RlL3ZlcmlmeVBpY0F1dGhDb2RlIg=="

"Imh0dHBzOi8vaWMuY3RyaXAuY29tL2NhcHRjaGEvdjQvdmVyaWZ5X2ljb24i"

请求的url如上。

主要代码

function sliderVerify(x,track1,track2,totalTime,extend_param,dimensions,token,rid){
    info={}
    var _0x21e43f = __0x5139b8(window['__sJSON']['stringify'](info), 0x0)
   var _0x39072d = 'appid=100008370&business_site=search_airticketscivil_online_pic&version=2.0.20' + '&verify_msg=' + _0x21e43f + '&dimensions=' + dimensions + '&extend_param=' + extend_param + '&token=' + token + '&captcha_type=' + 'JIGSAW'
    sign=window['__CryptoJS']['MD5'](_0x39072d).toString()
    return {
                'appid': '100008370',
                'business_site': 'search_airticketscivil_online_pic',
                'token':token,
                'rid': rid,
                'version':'2.0.20',
                'verify_msg':_0x21e43f,
                'dimensions': dimensions,
                'extend_param': extend_param,
                'sign': sign
            }

}
function verifyPoint(trace,points,dimensions,rid,token){
    _0x2f7496={

}
preIconSlidingTrack=[]
_0x2f7496['preIconClickTrack'] = preIconSlidingTrack

// _0x5c81a0=[trace]
_0x5c81a0=[]
_0x2f7496['iconClickTrack']=_0x5c81a0['join']('&')
_0x206936={
    "resolution_width": 1536,
    "resolution_height": 864,
    "language": ""
}
_0x184a86 = __0x5139b8(window['__sJSON']['stringify'](_0x206936), 0x0)
  _0x2f7496['inputStartTs'] = Date.now() - 1234
_0x2f7496['inputEndTs'] = Date.now()
_0x2f7496['inputTime'] = _0x2f7496['inputEndTs'] -  _0x2f7496['inputStartTs']
_0x391c88 = [];
_0x46b174=[]
for (var _0x4fcf7d = 0x0; _0x4fcf7d < _0x5c81a0['length']; _0x4fcf7d++) {
                _0x391c88[_0x4fcf7d] = [];
                var _0x514806 =window['__sJSON']['parse'](_0x5c81a0[_0x4fcf7d]);
                for (var _0x2426eb = 0x0; _0x2426eb < _0x514806['length']; _0x2426eb++) {
                    _0x391c88[_0x4fcf7d]['push']({
                        'x': _0x514806[_0x2426eb]['x'],
                        'y': _0x514806[_0x2426eb]['y']
                    });
                }
                _0x391c88[_0x4fcf7d] = window['__sJSON']['stringify'](_0x391c88[_0x4fcf7d]);
            }
var _0x515b62 = [];
_0x5ce5d0=[
     {
        "key": 1,
        "value": {},
        "coordinate":points[0]
    },
     {
        "key": 2,
        "value": {},
        "coordinate":points[1]
    },
     {
        "key": 3,
        "value": {},
        "coordinate": points[2]
    }]
_0x5ce5d0['forEach'](function(_0x308bdc) {
                _0x515b62 = _0x515b62['concat'](_0x308bdc['coordinate']);
})
_0x2f7496['value'] = _0x515b62;
var _0x835810 = __0x5139b8(window['__sJSON']['stringify'](_0x2f7496), 0x0);
  _0x184f6e = window['__CryptoJS']['MD5']('appid=' + "" +'&business_site=' + 's' +
      '&version=' + '' + '&verify_msg=' + _0x835810 + '&dimensions=' + dimensions + '&extend_param=' + _0x184a86 +
      '&token=' + token + '&captcha_type=' + 'ICON')
_0x5c81a0 = []
_0x46b174 = []
_0x30bdf8 = ![]
_0x7e8b37 = ![]
result= {
                'appid': '',
                'token': token,
                'rid': rid,
                'business_site':"",
                'version': '',
                'verify_msg': _0x835810,
                'dimensions': dimensions,
                'extend_param': _0x184a86,
                'sign': _0x184f6e['toString']()
            }
            return result
}

结果

样本不是很多成功率只有一半。增加标注量可解决。

总结

1.出于安全考虑,本章未提供完整流程,调试环节省略较多,只提供大致思路,具体细节要你自己还原,相信你也能调试出来。

2766958292
关注
  • 20
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
【SpringBoot】45、SpringBoot中整合JWT实现Token验证(注解篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 中整合了 JWT 并实现了 Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
携程机票查询 token 分析
laoyaogegeg的博客
04-18 704
携程爬虫 携程token 携程机票 Python携程数据抓取
携程国内机票token
Codeooo 博客
08-28 1万+
携程国内机票Token破解 1.废话不多说 直接上搜索大法 定位到最后的结果为 products 这个接口里 2.参数中发现token,尝试发现其换日期token不变,换出发地|目的地 token发生改变。 ​ 为什么呢,加密跟日期没关系? 3.堆栈追踪法: 4.进入app.js全局搜索token token = t.token getProductToken(dcity,acity,flightway) 验证前面所想 没有日期的事 o.default 这个方法要注意,传给他的参数有
携程机票查询token参数的生成过程
小猪佩奇的博客
12-17 2041
该文章主要提供交流学习使用,请勿利用其进行不当行为! 如本篇文章侵犯了贵公司的隐私,请联系我立刻删除! 今天分享一下携程机票版块token参数的生成过程撒。 前面的抓包什么的咱们一笔带过,找到值在如下url里面,我们开始分析它的参数。 除了token,其他均为正常参数,携带即可,这里我们研究token的生成过程。 我们全局搜索token,非常多的token值,慢慢找,哈哈哈哈 然后我们就会看...
验证码逆向专栏】某片滑块点选验证码逆向分析
K哥爬虫
12-20 1393
验证码逆向专栏】某片滑块点选验证码逆向分析
php实现token验证,PHP如何实现Token验证
weixin_36298146的博客
03-10 3259
PHP如何实现Token验证首先将Token进行解析;然后根据解析出来的信息部分验证是否过期,如果未过期再将解析出的信息部分进行加密;最后将加密出来的数据和解析出来签名进行比对,如果相同则验证成功。示例代码:...
携程国际机票sign破解
Codeooo 博客
08-25 1万+
携程国际机票sign破解 1.全局搜索大法: 直接搜索对应的时间,定位到最后结果返回的请求。 发现请求头headers sign为变化状态以及参数 transactionID为变化状态(transactionID前面请求响应结果)。 transactionID为变化状态(transactionID前面请求响应结果)。 2.逆向回推法,先往上找找看看哪里设置了这两个变化参数。 发现:https://flights.ctrip.com/international/search/api/flightli
java token生成和验证_Java Token登录验证 生成解析Token
weixin_36383052的博客
02-16 3018
借鉴参考Java Token登录验证 使用jjwt生成和解析JWTjava基于token验证之登陆验证等什么是Token?我的理解来说 token就是你访问服务器的口令,只要token合法,正确,你就能获取到后端数据当用户第一次登陆后,用户名密码验证成功后,服务器会生成一个token,把token返回到客户端,一般token都是储存在浏览器的localStorage 或 cookies中,存在lo...
小程序--Token生成与验证
红尘炼炼心的博客
12-09 5407
每次请求接口携带token,进行验证 1.验证成功则返回接口数据 2.验证失败(token过期),小程序重新请求生成新的token,然后请求之前的接口 key值: 随机数+时间戳+盐 value值: id+session_key+openid
PHP token验证生成原理实例分析
10-16
Token验证就是为了解决这个问题,确保每个表单提交或者API请求都是合法且来自用户的主动行为。 PHP中的Token验证原理主要包括以下几个步骤: 1. **生成Token**:在用户发起请求时,服务器端会生成一个唯一的、随机...
微信公众号服务器验证Token步骤图解
01-19
这篇文章主要介绍了微信公众号服务器验证Token步骤图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 服务器验证Token验证分为以下及步骤 一,在微信公众号...
PHP实现微信公众号验证Token的示例代码
10-15
主要介绍了PHP实现微信公众号验证Token的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JAVA中的Token 基于Token的身份验证实例
08-24
JAVA中的Token基于Token的身份验证实例 本文档主要介绍了JAVA中的Token基于Token的身份验证实例,具有很好的参考价值。本文将详细介绍基于Token的身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份...
Machine-Learning 机器学习
2302_80644606的博客
08-08 1220
机器学习人工智能的一个重要分支,旨在通过算法使计算机能够从数据中自动学习并做出预测。它结合了统计学、概率论、近似理论和复杂算法等多学科知识,利用计算机作为工具来模拟人类的学习方式。
机器学习Python还是R,哪个更好?
FLK_9090的博客
08-08 560
随着数据科学和机器学习的迅猛发展,选择合适的编程语言成为众多从业者面临的首要问题之一。在这其中,Python和R语言无疑是最受欢迎的两种选择。本文将从多个角度详细比较Python和R在机器学习领域的优势和劣势,帮助大家更好地做出决策。在选择一门编程语言用于机器学习之前,了解该语言的背景、设计初衷以及其在数据科学领域的定位是非常重要的。Python和R语言各自的历史和设计目标影响了它们在机器学习中的优势和应用场景。
写给非机器学习人员的 embedding 入门
最新发布
shengjk1的博客
08-08 712
你好,我是 shengjk1,多年大厂经验,努力构建 通俗易懂的、好玩的编程语言教程。 欢迎关注!你会有如下收益: 1. 了解大厂经验 1. 拥有和大厂相匹配的技术等 希望看什么,评论或者私信告诉我! @[TOC](文章目录) # 一、背景 目前在实现 NL2SQL 就是将人的自然语言通过 LLMs 的一系列处理,在这个过程中,会把文本向量化后存储到向量数据库中,然后通过向量搜索,这个过程中发现文本 embedding 后,通过向量化搜索效果很是惊人,就跟程序能读懂人的语言一样。于是对 emb
机器学习】(基础篇三) —— 损失函数和梯度下降
dao_cao_renshuai的博客
08-08 1102
介绍机器学习的损失函数如何定义和使用地图下降计算损失函数最小值
拼多多token滑块限制恢复
10-14
拼多多token滑块限制恢复是指拼多多的安全机制,当用户在拼多多APP进行操作时,可能需要通过拖动滑块来完成验证。这个功能主要是为了防止恶意攻击,保护用户的账号安全。 在过去的一段时间里,拼多多可能对部分用户的操作进行了滑块限制,这可能是因为系统检测到了异常操作或者风险行为。当用户遇到滑块限制时,可能需要按照系统的要求进行人机验证,才能继续进行后续操作。 然而,随着时间的推移,拼多多可能会根据用户的活动情况、风险评估等因素,逐渐解除对滑块的限制。这意味着用户可能会减少或不再遇到滑块限制的情况,可以更方便地使用拼多多APP进行购物、支付等操作。 为了保障用户的账号安全,我建议用户在使用拼多多APP时,注意个人账号的保护,及时更新密码、设置安全问题等。同时要注意不要频繁更换设备、切换IP等行为,以免被误判为异常操作。 如果用户还是遇到了滑块限制的情况,可以尝试重新登录、清楚缓存,或者联系拼多多的客服进行咨询和解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值