小红书小程序x-sign加密算法解析

最新推荐文章于 2024-09-02 23:44:21 发布
最新推荐文章于 2024-09-02 23:44:21 发布
阅读量2.7k 收藏 1
点赞数 1
分类专栏: python爬虫 js逆向 文章标签: 小程序 微信小程序 微信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jerry3747/article/details/122133731
版权
本文介绍了如何解析小红书小程序的x-sign加密算法。首先,通过微信开发者工具和小程序反编译工具获取源码。然后,定位到加密函数,发现加密过程是将URL中'/fe_api/'后的部分加上'WSUDD',再进行MD5加密。
摘要由CSDN通过智能技术生成

前言

看了一下app源码,毫无头绪,一个有用的参数都没hook到,果断放弃,转战小程序。

准备工作

下载安装微信开发者工具,这很简单,没什么好说的。
下载小程序反编译工具,进入该项目根目录,执行 npm install
在这里插入图片描述

源码解析

第一步,小程序反编译。首先得找到小程序的源码,打开模拟器或者真机,登录微信打开目标小程序,然后进入找到路径/data/data/com.tencent.mm/MicroMsg/{ {哈希值}}/appbrand/pkg/,该路劲下的*.wxapkg格式的文件就是小程序的包。在这里插入图片描述
把这些包全部导到pc端,接着打开cmd,进入到反编译工具根目录,
运行命令 node wuWxapkg.js <wxapkg路径> 进行反编译,如

最低0.47元/天 解锁文章
逆向三十六计
关注
专栏目录
小红书x-s,x-t
SM_zeng的博客
07-20 1316
首先明确我们要的是哪个接口,以这个为例全局直接搜索x-s,不知道找哪个全部打断点,看在哪里停确定是 window._webmsxyw(c,i)生成的,这思路不就打开了?
前端js算法逆向-小红书xs算法分析
myandroiduser的博客
08-15 874
八月份小红书算法又进行了一轮更新,目前已来到signSvn=53,signType=x2。文章纯分析新的加密技术,不涉及相关功能破解。
某书x-s x-common逆向(8月最新版本算法还原)
weixin_44454180的博客
08-19 500
小红书逆向 x-s x-common 最新版本
小红书接口加密参数X-sign
什么都不懂的博客
08-07 4224
小红书接口加密参数X-sign 文章目录小红书接口加密参数X-sign前言一、抓包获取参数总结 前言 因为工作需要,开始对小红书动手,因为app端风险高,小程序端也能获取基本需求,所以从小程序端入手。很感谢博客csdn几位大佬提供的思路,以下内容仅供交流学习与参考 小程序端通过抓包测试,共有两个难度,一是获取本文需要的参数x-sign,基本小程序的所有接口都需要该参数。二是小红书的数美滑块,该问题在本文不做介绍。 一、抓包获取参数 通过抓包,我们可以看到接口的参数,里面除了一些基本参数,还有三个关键参数
某书X-S(XS)纯算逆向 2024.8.25日更新 速看
qq_45499385的博客
05-06 5368
VMP的核心思想是将原始的可执行代码转换为一种只能在虚拟机环境中运行的形式,这样可以增加对代码的保护性。根据上图可以发现他先执行之后,后面又跟了一个括号传了参数,这就说明sanji函数的调用返回的又是一个函数,而返回的这个函数调用了后面的参数。这是我吗值得注意的,因为,字符串的拼接需要用到加法,所以我们在此处插桩,因为输出的内容过于庞大,所以我加入了if判断,只输出一部分日志。动态修改程序行为:插桩可以用于在程序执行期间动态修改程序的行为,如替换函数调用、修改参数值等,以实现特定的功能或修复bug。
最新小红书x-s加密算法补环境版本(8.8更新,已失效主页取最新)
08-18
小红书x-s算法纯js补环境版本。 使用python execjs调用js实现,内含完整接口调用Demo。 zip包内是小红书的补环境版本x-s参数的加密生成算法,独立JS文件,提供完整可用的调用测试示例,有问题可以联系作者。
小红书Xs算法补环境教程【9.2更新】
最新发布
hnx233的博客
09-02 397
小红书算法补环境
小红书微信小程序X-Sign参数解密
02-24
小红书微信小程序X-Sign参数解密
蒲公英x-sign参数
06-30
在这个场景中,"xhs-x-s"可能是另一个相关的头部字段,可能与"x-sign"一起使用,或者作为其补充,用于更复杂的验证流程。不过,具体的用途和生成方法需要参考小红书的官方文档或通过逆向工程分析。 由于没有提供...
闲鱼x-sign, x-mini-wua算法签名接口调用
binary66的博客
05-06 4424
闲鱼x-sign, x-mini-wua签名算法接口
XSign.java
11-03
手机淘宝x-sign源码,关于如何获取x-sign的代码,详情请查看博客 https://blog.csdn.net/Colinasd/article/details/102881853
小红书x-s、x-s-common加密算法(补环境版本)
03-14
zip包内是小红书的补环境版本X-s、X-s-Common参数的加密生成算法,独立JS文件,文件末尾有调用测试示例。另外可以直接使用Python脚本进行测试,稳定可用!项目内README.md文件内有详细的项目开发流程描述与介绍、安装部署步骤与详细流程、还有配置文件的详细解释!小白新手同样能够根据温度描述快速上手完成部署!有任何问题可以联系作者
最新小红书x-s参数x-t参数
06-16
最新小红书x-s参数x-t参数、爬虫、python、小红书、反爬虫
SRB x-sign
李玺
12-04 3565
本文案例是对srb小程序的x-sign参数分析。
某书xhs x-s x-t x-common
weixin_44454180的博客
01-28 1142
搜索用户页面请求ok。详情页面评论请求ok。
小红书 X-s x-s-common
qq_41367883的博客
03-08 881
所有接口通用。
手淘x-sign
qq1051373283的博客
12-31 4466
手淘x-sign@TOC 现在很多数据业务仅仅靠pc端接口的支撑已经不能满足大家的需求了,手机端的爬虫是大势所趋。但是相比于pc端的爬虫,手机端的爬虫很麻烦,选择抓包工具,设置代理,root手机,安装xposed,甚至还有app的反编译等,很多人望而却步。 个人研究了一段app爬虫,有一些小小的收获,当然比不上能够反编译、利用汇编分析apk的大牛,但是已经可以应付一些app爬虫业务了。比如淘宝直播...
Android逆向入门6——定位到小红书Sign算法
热门推荐
lilac的博客
08-31 1万+
在上一节中,我们猜测小红书自定义了一个拦截器,给每条请求添加了DeviceId、Timestamp等等字段,以及我们心心念念的sign字段。 这一节我们顺着这个思路去尝试定位sign,看看猜测是否有误。 一、寻找拦截器的特征 添加一个拦截器很简单,只需要实现Okhttp的Interceptor接口,并重写其中的intercept方法即可。这么说可能过于抽象,而且对Java基础有一些要求,你可以百度...
小红书 sign 算法 rpc
07-29
小红书sign算法RPC是一种用于保护和验证API请求数据的安全机制。它通过使用加密算法对请求中的参数进行签名,以验证参数的完整性和合法性。 首先,客户端发起请求时,会生成一个请求的唯一标识符和一个时间戳,并将它们作为参数发送到服务器端。 然后,服务器端接收到请求后,首先会检查时间戳是否在有效范围内,以防止重放攻击和请求的过期问题。 接下来,服务器会根据一定的规则(如API密钥等)将请求参数和生成的时间戳进行排序,并使用特定的加密算法(如HMAC-SHA256)对排序后的参数进行计算,生成一个签名。 随后,服务器将生成的签名与请求中携带的签名进行比对。如果两者相符,表明该请求是合法且完整的,服务器会继续处理该请求;如果不符,则说明请求可能被篡改或者不合法,服务器会拒绝处理该请求。 通过这种sign算法RPC,小红书可以确保API请求的安全性和合法性。由于签名是基于请求参数和时间戳计算而成的,因此,即使请求被窃取,攻击者也无法篡改参数或伪造请求。此外,时间戳的使用还可以有效防止重放攻击,确保请求的时效性。 总的来说,小红书sign算法RPC采用了一系列的安全措施来保护API请求的完整性和合法性,确保了用户的数据安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向三十六计

赏个馒头,吃饱了才有力气搬砖哦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值