某网站登录授权过程

最新推荐文章于 2024-03-04 15:09:18 发布
最新推荐文章于 2024-03-04 15:09:18 发布
阅读量918 收藏
点赞数
分类专栏: 爬虫相关 文章标签: python 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fm345689/article/details/116847478
版权
本文详细解析了网站登录过程中的加密机制,包括AES、Base64、MD5和RSA加密,以及加法验证码的计算方法。首先,通过JS分析了loginseccodeverify等参数的加密流程,然后介绍了如何获取服务器publickey并进行RSA加密。此外,还涉及了深度学习验证码的处理。整个登录授权过程包括获取publickey、发送解码密钥到服务器和登录授权三个步骤。
摘要由CSDN通过智能技术生成

本文仅用于学习参考,请勿于商用

本文不呈现网站链接,仅仅是一个账号记录登录过程,含JS分析、深度学习计算验证码

  • 登录展示:

点击login,出现验证码。
在这里插入图片描述
输入验证码,点击login,现登录信息如下。
在这里插入图片描述
post发送四个请求,账号,密码,验证码,UA,及前三都都是加密的参数

  • JS过程

全局搜索 loginseccodeverify 参数
在这里插入图片描述
很快找到相应加密参数来源
在这里插入图片描述
第一个加密,AES加密
在这里插入图片描述
在这里插入图片描述
第二个加密,base64
在这里插入图片描述
第三个加密
在这里插入图片描述
在这里插入图片描述
密码那里就单独多了一个md5加密。
在这里插入图片描述


当然,还有encryptkey参数。后面参数测试,不需要每次都生成,只要同规则的参数就行,就是一真用 "1aa8bef48f4b11149a8e5263ade3c965c23425ae8bdbc4aab322bd26f103d6f8"参数都行

在这里插入图片描述
在此之前,还发送了两个请求,一个是获取服务器的publickey,一个是发送服务器解密key
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述


查找 “keycryp” 参数
在这里插入图片描述
此时断点已经生成,那么慢慢往回退,查找生成方式
在这里插入图片描述
在这里插入图片描述
此时,"keycryp"是RSA加密,publickey从服务器返回。

至此,JS加密告别一段落。

加法验证码计算(这里分两种)
  • 接打码平台:

在这里插入图片描述

  • 深度学习方式:

请查看我的另一文章:https://blog.csdn.net/fm345689/article/details/116852673

通过上面过程,登录授权过程就完成了。

登录授权步骤:

获取publickey

发送解码密钥,到服务器

登录授权

说明请求方式请求链接请求参数
获取相关cookieget请求网站相关链接后返回cookie
获取验证码get/seccode.php?update=0.18529641790017615
获取publickeyget/ajax_login.php?action=CryptionData&getPublicKey=true&timeid=1621061157120
发送解码密钥,到服务器post/ajax_login.php?action=CryptionData&handshake=true&timeid=1621061157120keycryp: rE****KM=
登录授权post/ajax_login.php?action=LogAppusername: 5***303d
password: 5***3d
loginseccodeverify: 5***303d
useragent: **6

AES加密,python调js代码

def execute_js(answer,message):

    # $.jCryption.str2hex(Base64_2.encode($.jCryption.encrypt(username, encryptkey)))
    js_code1 = """
    
    var exejs = function(){
     const CryptoJS = require('crypto-js');"""

    js_code2 =  """
    
     var data1 = CryptoJS.AES.encrypt('{}', '{}').toString();

 """.format(str(answer),message)

    js_code3 = """
     var data2 = new Buffer(data1).toString('base64');

     var tohex = function(c) {
           return c > 15 ? c.toString(16) : c < 0 ? "" : "0" + c.toString(16);
       }
    
    var str2hex = function(str) {
          for (var hs = "", i = 0; i < str.length; ++i)
              hs += tohex(str.charCodeAt(i));
           return hs;
       }
	
    var data3 = str2hex(data2);

    return data3
    }
    """
    exjs = execjs.compile(js_code1+js_code2+js_code3,cwd=r"/home/nodejs/node_modules")
    arg2 = exjs.call('exejs')
    # print(arg2)
    return arg2

RSA加密,python代码:

def rsa_encrypt(message,publickey):
    """
    使用信息进行rsa加密
    :param message:
    :param publickey:
    :return:
    """
    key = publickey
    rsakey = RSA.importKey(key)
    cipher = Cipher_pkcs1_v1_5.new(rsakey)
    cipher_text = base64.b64encode(cipher.encrypt(message.encode('utf-8')))
    result = cipher_text.decode('utf-8')

    return result
倚祝潇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
微信授权登陆过程记录
qq_37521174的博客
05-25 669
整体流程: 微信授权登陆可分为三种: 1、移动端授权登陆; 2、网站应用端授权登陆(只支持扫码登陆, 如果是手机访问,那么就需要两部手机才能完成操作, 截图再扫描是不行的); 3、公众号、小程序授权登陆; 一、 公众号授权流程及源码;(这些工具类可在SDK中查找) 1、客户服务端给出授权接口(这个地方给出微信访问客户服务端的回调地址, 注意这个地址是需要在公众平台 “网页授权”中配置的): @RequestMapping(value = "/") public String login(){ //
oracle对存储过程授权,PL/SQL包内的存储过程执行授权
weixin_42691388的博客
04-04 2539
请教一个PL/SQL包内的存储过程执行授权的问题:我发现可以将对包的执行权限赋予用户,但却无法将对包内的存储过程的执行权限赋予用户,请教如何才能赋权呢?[oracle@localhost ~]$ cat test.sqlCREATE OR REPLACE PACKAGE pkg_test ISPROCEDURE prog_test(P1 IN VARCHAR2,P2 IN VARCHAR2);EN...
webauthorize:网站为我们公司授权
05-23
网站授权 描述 该脚本用于我公司的Web授权以访问Internet。 当前,该脚本仅支持Linux和MacOSX。 只支持bash ##用法 ./webauthorize.sh [-a用户名:密码] [-i界面] [-p ip] [-h] [-v] 登录: ./webauthorize.sh -a用户名:密码 ./webauthorize.sh -a用户名:密码-i eth0 ./webauthorize.sh -a用户名:密码-p userip 登出 ./webauthorize.sh ./webauthorize.sh -p userip 笔记 最新的网站使用rsa。 您需要使用生成密码。 jssh password-generator.js < your> 它将输出如下: 096cf31121c4191378302341b8098fbef863a
登录授权
zy1104560031的专栏
06-04 2346
SSO 一,密码式网站用户获取token 二、凭证式(适用于没有前端的服务式,不是针对用户,针对团体的,并且有很高的信任关系(获得的是团体的)) 三、隐藏式(直接颁发令牌,相对而言比较常用,没有后端只有前端(确定容易被浏览器劫持)) 四、授权码方式(80%用这种) js跨域:通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数...
小程序授权登陆流程
weixin_47420579的博客
05-16 88
1.获取code 微信获取code的方式很简单,直接使用wx.login命令就可以返回code值。 2.将code传递给后台 然后就需要将获取到的code传递到后台 使用request来传递数据,这里的地址是我随便写的,8080后面的?code=+code是代表要传递的值,这个code就是我们在第一步获取到的code,当调用成功后在success中就可以返回一个值, 注意request中method方法默认为GET,在这里我改为post方法了。 3.后台返回数据,通过数据判断当前用户..
微信用户访问小程序的登录过程
03-29
当你开发完了一个小程序并部署上线后,某个微信用户第一次访问这个小程序的时候,会弹出一个授权界面,用户可以选择是否使用微信登录,如果选择是,则直接进入到小程序。当你第二次进入该小程序的时候,你会发现授权...
ORACLE单独授权表或视图或存储过程.doc
07-28
ORACLE单独授权是指在ORACLE数据库中,授予某个用户对部分数据表、视图或存储过程的访问权限,而不是授予全数据库的访问权限。本文将详细介绍如何授予用户对部分表、视图或存储过程的权限。 为什么需要单独授权 在...
网站授权系统源码 授权编号查询系统
最新发布
03-11
标题中的“网站授权系统源码 授权编号查询系统”指的是一个用于管理网站授权的软件系统,它的核心功能是通过授权编号来验证用户是否合法使用某个网站或应用。这个系统可能是用PHP编程语言编写的,因为标签中提到了...
网站系统授权综合管理系统
04-05
网站系统授权综合管理系统系统采用ASP+ACCESS开发,轻松稳定,防攻击和防下载处理。无需安装,只要上传到支持ASP的空间中即可使用。 系统亮点: 只需一段JS代码,就可以远程对网站域名进行授权管理。 跨平台使用,可在ASP,PHP,NET等各种程序系统上使用 真正的远程管控,平台在线,授权无忧。 灵活多变的授权验证方式,满足不同的授权需求 功能说明: 网站系统开发者仅需将该授权管理系统安装在自己的服务器或空间上,即可对网站实现远端授权管理,灵活的授权验证方式,满足不同的授权管理: 1、域名+时间双重验证 2、仅域名验证(可同时授权二个域名使用,时间验证失效) 3、仅时间验证(域名验证失效,可选择到期后是直接关闭,还是仅提示) 一、新增授权,每个用户一个唯一的授权ID ,精准每个用户的授权管理 二、即将到期授权管理,方便提前通知用户 三、已到期授权管理 四、产品管理 五、调用说明 六、系统参数设置 更多功能,我们将不断更新中 默认后台管理帐号和密码分别为:admin admin888 如果在使用中,有任何问题,请与我们联系。 网站系统授权综合管理系统 更新日志: 2016.10.23 修正前台查询功能,搜索结果由原来的模糊搜索改为精准搜索。
oracle授权用户查询存储过程,如何实现只授予用户查看存储过程定义的权限
weixin_26779013的博客
04-09 3719
有个网友问我,如何授予某个用户只能查看某些存储过程的定义权限,而不能让用户去修改、执行存储过程。看似简单的问题,却因为从没有碰到这样的需求。花了点时间才梳理、总结清楚。关于ORACLE账号的权限问题,一般分为两种权限:系统权限: 允许用户执行特定的数据库动作,如创建表、创建索引、创建存储过程等对象权限:允许用户操纵一些特定的对象,如读取视图,可更新某些列、执行存储过程等像这种查看存储过程定义的权限...
登录授权
AndroidTalk的博客
11-11 1535
Cookie不是专门登录用的,但是Authorization就是为登录设计的。 1. Cookie: a. 作用:一、会话管理:购物、登录状态sessionid。二、个性化:管理用户偏好client_id。三、Tracking:追踪用户行为(外链from)。 i. 购物例子: 第一步: 苹果加购物车 第二步: 香蕉加购物车 ...
登录授权
Yes_You_Can 的博客
01-06 1095
登录授权是两个不关联的事情,登录是为了使用微信的用户体系,即每个微信用户都有一个唯一的openid。授权,比如之前的获取用户头像昵称需要授权,获取地理位置、手机号码需要授权
HTTP登录授权
ZH的博客
03-04 1472
HTTP是无状态的协议,它不会记录和保存之前连接的状态。那么它进行登录验证和授予客户端权限的过程是怎样的?我们经常使用微信、QQ等进行第三方的授权登录。又是怎样实现的?本文将通过介绍HTTP登录授权机制帮助大家理解这些问题。
系统的登录授权流程
TwilighTzvz的博客
03-04 771
常见RABC类型系统的登录流程
【学习笔记】登录和第三方授权
droidYu
08-03 382
登录和第三方授权
网站第三方登录
mayonglong的博客
08-11 1186
微信开放平台账号:犀牛邮箱登录 密码:m 一.微信登录 二.QQ登录 1.申请应用 获取appid appkey     appid 的值即为oauth_consumer_key的值     appkey 的值即为oauth_consumer_secret的值 2.用户点击QQ登录时触发qq 登录对话框 3.获取Authorization Code  
springboot项目系列-论坛系统04登录注册实现
IT二叔的博客
12-27 1514
springboot项目系列-博客系统04登录注册实现 注册(使用AJAX,邮件任务,异步任务) 首先跳转到注册页面,进行注册,跳转到后台,判断数据库里是否有该用户,如果有,注册失败,如果没有,注册成功,使用邮件任务给用户发邮件,因为此时用户注册字段里面有邮件输入,假如用户使用的是真实邮件,则可以收到,考虑到发邮件会有时间间隔导致用户体验不好,所以加了异步任务,多线程来实现,这样的好处就是,另外一个线程发邮件,完全不影响用户的体验,注册完即跳转…是不是很nice 前台代码 <!DOCTYPE html
Spring security的授权过程
05-12
Spring Security 授权过程包括以下步骤: 1. 身份验证:验证用户是否已经登录,并且提供了有效的凭证。 2. 授权决策:确定用户是否具有执行某个操作的权限。 3. 访问控制:根据授权决策的结果,允许或拒绝用户的请求。 在这个过程中,Spring Security 会使用各种不同的技术,包括身份验证机制(如基于用户名和密码的身份验证)、访问控制策略(如基于角色的访问控制)等。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值