拼多多商家后台字体加密分析

已于 2022-06-23 19:02:33 修改
阅读量3.2k 收藏 12
点赞数 3
分类专栏: python爬虫 js逆向 文章标签: 爬虫 python 逆向
于 2022-06-16 18:22:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jerry3747/article/details/125319523
版权

本文仅供交流学习,如有侵权,请联系删除。
1、打开拼多多商家后台,点击数据中心的流量数据,然后右击鼠标检测一下“店铺访客数”下面的数字,发现数字居然是乱码,此时有点懵逼。
在这里插入图片描述
2、找到返回这些数据的接口,发现接口返回的数字是乱码,其它的都正常的。
在这里插入图片描述
3、现在可以确定的一点就是数字是在前端经过特殊处理后还原的,而且只针对数字。回到第一步,分析一下这个元素所在的标签信息,标签的class中有个很可疑的信息__spider_font。
在这里插入图片描述
4、全局搜索一下 __spider_font,定位到一个字体文件,到了这一步稍微有点经验的人应该也知道了,这是字体加密。
在这里插入图片描述
5、把字体文件下载下来,用字体工具打开,刚好就是10个数字的字体。
在这里插入图片描述6、请求一下这个接口,发现返回的数据就是字体文件上的编号,我们只需把十个数字的映射关系找出来,然后替换源数据就可以还原了。
在这里插入图片描述
7、然而事情并没有这么简单,每个板块用到的字体文件都不一样,同样的页面每天的字体文件也不一样,我们无法确定每天的请求用到的是哪套字体,那么如何通过一套字体映射关系解析所有的字体呢。不同的字体之间肯定是有某种关联,同时打开同一个页面的两套不同字体,看看有什么猫腻。下图是两套不同的字体中9的坐标信息,它们的坐标是一模一样的。也就是说,随便下载一套字体,做为基础字体,每次请求的时候把页面的字体文件下载下来,跟基础字体的坐标进行对比,如果坐标一模一样,那就是同一个数字。
在这里插入图片描述
在这里插入图片描述

逆向三十六计
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 15
    评论
专栏目录
多多anti_content参数加密逆向JS 最新可用
05-11
最新可用 多多api解密 多多anti_content参数逆向分析 多多JS anti_content参数加密解析 node 解密下载即有用
​​FontCreator14 爬虫工程师处理 字体加密 的重要工具
02-07
FontCreator 14是一款字体制作设计工具,软件界面直观友好,还结合众多普通字体创建软件功能、以及各种智能选项、COLR和SVG颜色扩展、强大的脚本转换等多样化专业、先进的功能模式于一体,可让广大用户们可以通过扫描的图像或者是自己手写的笔迹来进行字体制作,使用起来更加简单,方便之外。还支持您修复字符代码点、字体名称、字形名称和字距调整对,随时在安装前预览字体,甚至可以通过定义轴和轮廓层来制作可变字体等操作,从而让你轻松创造出独一无二的字体作品,是一款真正的原生字体编辑器! FontCreator 是爬虫工程师处理字体加密的重要工具之一,通过FontCreator 能分析出网页字体加密的规律所在,快速破解数字加密的重要工具。如猫眼,美团网站的字体加密可以借助FontCreator 来进行解决。
最新PDD商家端Anti-Content参数逆向分析与纯算法还原_pdd anti_content(3)
最新发布
2401_84297455的博客
05-09 1029
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
font-spider 字蛛模板
11-23
1. 安装字蛛:npm install font-spider -g 2. cd xx/xx/x目录/demo 3. 将压缩包解压缩到demo目录下,将字体替换成需要压缩的字体 4. cd .. 可以返回上一目录 5. 运行:font-spider ./demo/*.html
最新PDD商家端Anti-Content参数逆向分析与纯算法还原_pdd anti_content(1)
2401_84281655的博客
04-29 922
H5目前这个参数好像是已经不再做校验了?所以再去分析的话意义并不大了。而且它那个界面真的是巨难用!为此,我单独去注册了一个商家版的!只为还原最真实的场景。目前最新的是0aq开头的,相比较于早期的老版本不再需要参数去参与加密,纯算法扣出来还原之后可在本地Node环境下直接调用生成,并且算法通用于所有接口…
推荐开源项目:Font-Spider - 优化前端字体加载效率利器
gitblog_00032的博客
03-21 430
推荐开源项目:Font-Spider - 优化前端字体加载效率利器 项目地址:https://gitcode.com/aui/font-spider Font-Spider 是一个轻量级的、高性能的JavaScript库,专为提升网页前端字体加载速度而设计。该项目由阿里团队开发并维护,它通过智能分析和异步加载的方式来优化Web字体的使用,从而显著提高页面的首屏渲染速度。 技术分析 智能分析: ...
夕夕anti-contenti加密
02-23
可用
多多系列加密crawlerInfo、screen_token、anti_content参数
热门推荐
qian123shuai的博客
05-02 1万+
只说下思路吧,毕竟把加密代码公开对别网站不好。如有权益问题可以发私信联系我删除,或q:1847858794 如图 ,我见过多多所有系列都是用的同一套加密方式,有个0a开头。加密是他自己写的一套加密方式,涉及到的加密参数有:鼠标点击位置、href、ua、cookie和时间戳。 加密位置在如图所示地方: 稍微混淆了下,找到加密位置就是去慢慢调试js了,这需要多掌握些js知识...
多多登陆 JS 密码字段加密解析
Zok的博客
07-23 4886
个人博客网站 多多登陆 JS 密码字段加密解析 若有侵权请立即联系作者删除!!! 目标: X多多自动登录时对密码字段的加密 抓登陆包 网址 https://mms.pinduoduo.com/login 打开调试工具,随意输入一个账号密码点击登陆 然后我我们看到一个 POST 请求 https://mms.pinduoduo.com/janus/api/auth 可见密码是在 js 中加...
多多接口演示过程
Noah_ZX的博客
07-07 281
多多接口测试过程
pdd商家后台API anti-content 加密参数
12-27
可用于pdd 商家后台 调取API接口的加密参数 补过环境 直接调用 get_anti_content()
PDD 商家后台 anti-content 加密参数
02-21
补过环境可 可用nodejs直接调用 get_anti_content() 最新版anti_content亲测可以用 浏览器环境调用 可自行去掉环境直接使用 php 也可以直接调用
大众点评字体加密破解代码.zip
08-12
大众点评字体加密破解代码
大众点评字体加密.py
09-22
适合爬虫学习,交流
易语言-多多anti_content解密
06-25
多多anti_content解密
记___多多spider
weiyan__的博客
10-22 4398
我自己很怂,代码我就不公布了,我把自己核心笔记拿过来,如果有问题可以留言,我会回答 多多 商店 抓取。经过 一些分析,初步知道。多多,没有类似于美团,淘宝这样的网站设计。多多还是注重于 移动平台,这是一个趋势,意味着爬虫会越来越难了。比如 请求不是常见的get或者post 在分类里爬取,是无法获取完整的数据。个人觉得就像是前门和后门一样,分类里大概十几万的商品数据,商铺去重以...
技术分享:font-spider(字蛛)的正确打开方式
mashibing_web的博客
12-10 847
前言 最近在部署vue项目之后,在打开网页的时候,ttf文件下载时间实在是太久了,在经过合理的运用搜索引擎之后,可能自己的固化思维消化不了大佬们给出的方案,于是在他们的基础之上做了一些小小的改动,便叙文记之。 1. 引入font-spider的依赖 首先我们执行npm install font-spider -g引入依赖, 执行完成后,可以输入font-spider -V来检查是否引入成功 2. 在根目录下创建三个文件 2.1 fonts 这里放入原字体包,Lato-Medium.ttf、Lat
字体反爬之好租(字体反爬通杀方案)
qq_44902227的博客
07-31 335
答案是有的,有很多博主采用坐标差值到一定阈值内,就视为同一个字,但本文采用K近邻算法进行训练,预测每个出每个字体,关于K近邻算法,网上有很多教程,这里不做过多赘述。我们接着看请求字体包,我们发现,该font-woff字体文件是经过Base64编码以后的字符串,我们在网页搜索一下woff,正是在网页源码中,这一步,我们可通过获取页面源码得到字体编码字符串。总结当遇到站点字体是动态字体时,我们就不能只考虑固定的字体编码映射,尝试K近邻算法进行训练,预测来达到实时映射的目的!获取前两页,发现我网页的一致。...
wireshark 多多
07-05
### 回答1: Wireshark是一款开源的网络协议分析工具,可用于捕获和分析网络数据包。而多多则是中国一家知名的社交电商平台。 Wireshark可以通过监听网络流量,捕获传输在计算机网络中的数据包。这些数据包可以包含各种协议的信息,如HTTP、TCP、UDP等。使用Wireshark可以深入了解数据包的传输过程,并根据这些数据包进行网络故障排查、性能优化以及安全分析等工作。 而多多则是一个以社交为核心的购物平台。用户可以通过与朋友、家人分享商品链接,以团购的方式获得更加优惠的价格。多多通过社交互动和砍价等方式刺激用户的购买欲望,打破传统电商平台的购物模式,为用户提供更加划算的购物体验。 Wireshark和多多看似没有直接的联系,但却都在网络领域发挥着重要的作用。Wireshark可以帮助网络管理员或分析分析网络数据流量,确保网络的正常运行和安全性。而多多则利用社交网络的力量促进商品销售,通过数据分析和个性化推荐等方式提高用户的购物体验。 总的来说,Wireshark和多多都是在不同领域的重要工具。Wireshark用于网络数据包的分析,而多多则用于社交电商平台的运营。尽管二者功能不同,但都在其各自的领域中发挥着重要作用。 ### 回答2: Wireshark 是一款流行的开源网络分析工具,它可以用来捕获、分析和监控网络数据包。而多多则是中国一家知名的电商平台,以“团”模式受到广泛欢迎。 Wireshark 与多多之间看似没有直接的联系,但实际上,Wireshark 作为一款网络协议分析工具,可以在某种程度上帮助分析和监控多多的网络通信。 首先,Wireshark 可以帮助监控多多网站的网络流量。可以通过在Wireshark中设置网络接口,捕获与多多网站的通信流量,然后通过过滤器筛选出与多多相关的数据包,如HTTP、HTTPS、TCP、DNS等协议,从而对多多的网络通信状况进行分析。 其次,Wireshark 可以用于分析多多的网络性能问题。通过捕获多多通信过程中的数据包,在Wireshark中可以查看通信延迟、丢包情况、响应时间等网络性能指标。这可以帮助多多找出网络瓶颈和优化网络架构,提升用户体验。 另外,Wireshark 还可以用于多多的安全分析。通过Wireshark捕获的数据包,可以进行协议分析、报文解码等操作,帮助发现多多网络中的潜在安全风险。例如,可以检测是否有恶意的网络攻击,如DDoS攻击、欺诈行为等。多多可以根据Wireshark的分析结果加强网络防护措施,保护用户信息的安全。 综上所述,Wireshark作为一款网络分析工具,可以对多多的网络通信进行监控、分析和优化,提升多多的网络性能和安全性。 ### 回答3: Wireshark是一种开源的网络协议分析工具,多多则是中国一家知名的电商平台。这两者之间没有直接的关联,但是可以通过使用Wireshark来分析多多的网络流量,并了解其网络通信过程。 首先,使用Wireshark可以捕获和分析网络数据包,从而深入了解多多平台是如何与用户或服务器进行通信的。通过分析数据包,可以了解到多多是如何建立和终止网络连接的,以及在通信过程中的数据交换情况。可以分析HTTP或者HTTPS请求,进一步了解多多与其服务器之间的数据交互,包括发送的请求参数、接收到的响应数据等。 此外,Wireshark还可以帮助我们分析多多的网络性能。通过监测网络流量,可以评估多多的响应时间、访问延迟等指标,从而了解用户使用平台时的网络体验。也可以检测到潜在的网络问题,比如丢包、重传等,有助于识别和解决网络故障,提高用户的网络连接质量。 使用Wireshark还可以发现潜在的安全问题。通过分析多多的网络流量,可以检测是否存在明文传输敏感信息、是否使用了加密协议等。如果发现安全问题,可以采取相应的措施来保护用户的隐私和数据安全。 综上所述,使用Wireshark可以对多多的网络通信进行深入分析,从而了解平台的网络交互过程、性能表现和安全性,并且采取相应的措施来提高用户体验和保护用户数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向三十六计

赏个馒头,吃饱了才有力气搬砖哦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值