- 博客(18)
- 资源 (5)
- 收藏
- 关注
RSS订阅
原创 某联招聘版某数反反爬— 2. 总体剖析
术语1. 动态js在js运行期间,通过字符串拼接等形式生成一段js代码,然后通过eval或Function的方式动态执行某数的动态js是和页面配套的,ajax请求不会改变动态jsF5刷新页面或者浏览器输入网址得方式都会生成新的动态js动态js和生成他的页面有配套关系,不配套时生成的cookie货Ew参数无效某数动态js每次改变的仅仅是变量名称,其他逻辑丝毫不变(敲黑板,划重点)动态js是某数反爬的核心代码,有上万行代码2. $_ts某数中仅有的固定名称的变量是一个全局变量,页面js
2020-05-14 12:06:14
4354
6
原创 某联招聘版某数反反爬—1.动态js初始化调试方案
前言某联招聘网站使用了5版本的某数作为反爬措施,某数的机制基本上都是页面中js代码结合一个iso-8859-1编码的js文件来生成动态js,通过eval的形式执行该动态js,动态js在初始化阶段会读取页面meta中的content内容进行一些参数的初始化,动态js和页面js中还会有相互调用的情况,动态js做了混淆、平坦化、反调试、浏览器校验、鼠标键盘监控等等工作。这个动态js每次访问页面都会重新生成,虽然是重新生成的,但其内部代码逻辑不变,行号也不会变化,唯一变化的就是变量的名称,当然这个变量名称其实是
2020-05-13 19:15:55
3116
6
原创 某Boss招聘网站的反反爬机制详解
近日出于学习的目的对某Boss网站的反爬机制进行了分析和逆向,终于完全搞定了,记录总结下方便日后学习!本代码请仅用于 纯技术研究的 用途,请勿用于商业用途或 非法用途,如果因使用者非法使用造成的法律问题与本作者无关!涉及技术核心js加密文件进行了全逆向,爬取方案不需要浏览器参与,纯 python+js 即可!本爬取方案最终通过Python实现了完全自动化爬取职位信息列表页,并存储到...
2020-04-26 02:44:12
8700
51
原创 某里某淘bx-ua逆向解密
逆向解密就是对这个 bx-ua字符串进行反向解密,这需要对他的三轮加密(二进制加密 四选一加密 base64加密)进行逆序的解密, 最难的就是第一层二进制加密, 让我掉了很多头发,折腾了许久总算突破了,解密后就可以还原到原始数组。本研究仅作学习研究用途,如有侵权请联系我删除,详细算法涉及某里商业机密不便也不能公开。bx-ua: 是很多某里系必备的header参数, 走亲访友之必备良药。经过葱哥不屑的怒肝,终于可以将某里系的bx-ua进行逆向解密了!开头的数字是版本号,我研究的是最新的225版本.
2023-04-12 10:53:13
3247
5
原创 蚂蚁金服12万破解悬赏-第一战
上篇我们预测了阿里蚂蚁金服破解题目的几种思路,现在我们来看看实际情况如何。上篇地址(已按照官方说明更新了下载地址) http://www.jianshu.com/p/93b0b4e7e091吐槽下先上篇我们就提到了官方给的下载链接不可访问,方式还以为不到开赛时间官方未开放下载,或者阿里的同学都忙着去开宇宙最大公司大会了,得等到凌晨准时开通。经过漫长的等待,困啊,到了零点去访问还是无法访问,当时想这
2017-09-13 15:20:47
886
原创 蚂蚁金服12万破解悬赏-第一战
上篇我们预测了阿里蚂蚁金服破解题目的几种思路,现在我们来看看实际情况如何。上篇地址(已按照官方说明更新了下载地址) http://www.jianshu.com/p/93b0b4e7e091吐槽下先上篇我们就提到了官方给的下载链接不可访问,方式还以为不到开赛时间官方未开放下载,或者阿里的同学都忙着去开宇宙最大公司大会了,得等到凌晨准时开通。经过漫长的等待,困啊,到了零点去访问还是无法访问,当时想这
2017-09-13 15:19:56
1234
原创 关于性能优化之空间时间可靠性的辩证关系思考
最近对多线程、锁、事务隔离、JVM、数据结构、分布式等方面的知识进行了梳理和思索,对性能优化的常用“伎俩”进行了一些反思和总结提炼,不过受山东大葱哥本人经验和能力所限难免有错误过欠妥之处,如有发现还请不吝指出为盼,看在所有内容全部手机码字的面子上请多多支持。性能归结起来是空间和时间的此消彼长,当然再引申下就是空间、时间、可靠性的折中和侧重。受限于空间(存储、资源)和可靠性等的限制,性能在一定阶段
2017-09-08 14:12:00
780
原创 大数据架构hadoop初体验二
大数据架构hadoop初体验一上一篇主要简述了按照官方文档进行环境搭建以及环境搭建中的坑。这一篇我们开始动手体验hdfs的API调用,这里使用的是java语言进行的实践。教程使用我的好友杜亦舒撰写文章,具体可参加其公众号 性能与架构(yogoup),文章链接 【教程】Hadoop HDFS 实践。教程写的还是很优秀的,因为环境我已经在上节配置好了,所以我参考了教程中的编码调用部分。总体来
2017-09-08 14:10:23
301
原创 大数据架构hadoop初体验一
hadoop已经不算新技术了,只是我在实际项目中一直没有太好的机会应用,主要受限于数据量不够大、团队资源紧张、公司成本控制等原因。对此我一直觉得很遗(落)憾(伍),一个不熟悉大数据的CTO不是一个好的将军,于是乎抽时间近期实际操练了下hadoop的基本功能。技能学习方法论学习一套新技能时我喜欢先了解其用途,再学习其用法并在项目中应用(动手操练),然后再探究其原理。了解用途关于hadoop的用途网
2017-09-08 14:09:26
362
原创 大数据可视化展现之echarts实操
作为大数据分析的最终目的是为了得到某种形式的输出结果,而这些输出结果大都以可视化图表的形式进行展示,当然了有些大数据分析不需要图表展示如推荐系统。而可视化展现自然需要一套好用的图表插件,市场上有很多可以展现各种图表的插件,今天我给大家介绍的是百度出品的echarts,目前最新版本为echarts3,作为实例我使用的echarts2。echarts2简介echarts是一套基于javascript
2017-09-08 14:08:23
5572
原创 那些年干过的事(序)
个人介绍:不是黑客,不是技术牛人,喜欢使用索引掣喜欢利用大家的经验分享,喜欢解决一些实际问题,有一些开发经验,对常用的开发语言略懂一二,做过一些破解及入侵安防,想与大家分享。免责声明:这些年在工作生话中碰到不少需要破解(无违法及产权问题)的事情,在这里与喜欢技术的朋友共享下,这些系列文章仅用于技术交流,请各位阅读后自觉遵守国家法律法规,将知识和经历用于增强安全防护等正向用途
2013-11-07 13:11:00
604
原创 那些年干过的事(六)—无源码修改版本号
背景:本文是《那些年干过的事(五)--无源码程序反编译修改文字》的续集,那个旧版本程序提供自动在线升级功能,但编译后的程序保留了旧的版本号,导致不能自动升级,需要修改程序版本号,使其可以升级。目的:修改程序版本号,使其可以自动升级。工具手段:ResHacker(感谢搜索引擎让我知道这个东东)方式。修改步骤:步骤比较简单,用Resource
2013-11-07 13:09:20
967
原创 那些年干过的事(五)—无源码程序反编译修改文字
背景:一同事提到某客户要求修改产品程序中的一段文字,正常情况下这是很简单的事情,不需要我这业余人员参与,但问题在于该客户使用的是旧版本产品,而旧版本产品的代码已遗失,这种情况下修改文字就成了一个棘手的工作。几经辗转这个事情就找到了我这里,受不了同事再三托付,我答应其试试。该程序使用.net 2.0开发。目的:需要修改的为一C/S客户端界面,在界面中某个label
2013-11-07 13:08:28
1717
1
原创 那些年干过的事(三)—系统序列号破解与防护
背景:在推广产品时经常需要搭建演示环境,而每次都需要经过繁琐的序列号申请过程,很是麻烦。尤其是在着急确认某功能时,越是着急越容易出问题,经常需要发送好几遍序列号。我实在受不了这种折腾,就想弄个产品演示版本,远离繁杂耗时的lic申请。目的:破解产品序列号限制,不影响产品正常使用。条件:无产品源代码;已知产品使用.Net 4.0开发;已知正常序列号为一加密文
2013-11-07 13:07:26
1209
原创 那些年干过的事(二)—成绩查询网站爆库及防护
背景:某考试系统公布了考试成绩,很多朋友参加了这个考试,当时手上没有他们的考试号等信息,又比较好奇大家的成绩,一时兴起就想看看有没有方法在不知道考试号的情况下查询成绩。目的:获得大家的考试成绩。条件:网站采用php开发,数据库类型未知,表结构未知工具及手段:google、UE、Sqlyog、SQL注入、Eclipse前期准
2013-11-07 13:06:06
1406
原创 那些年干过的事(一)——php电商网站入侵及防护
背景偶遇一从事电商的朋友,闲谈说到了他的电商网站,他不理解自己的网站是如何被破解的,问我能否帮忙看看他的网站存在哪些安全漏洞,说实话当时偶并没有研究过网站破解及安全防护,也是一时兴起抱着学习的态度答应了朋友。目标:寻找网站漏洞获取后台数据,提供修复建议工具及手段:google、UE、Sqlyog、SQL注入方式方法:1、了解目标网站
2013-11-07 13:04:35
1513
jboss中实现跨war包session同步
跨war包session同步解决方案【功能点】不同war包间session共享【关键需求理解】多系统间实现统一登陆(单点登陆),对用户屏蔽多个独立系统的存在,给用户提供一个整体统一的系统。【实现逻辑描述】用一个类的静态hashmap域来存放公共session信息,我们可以称之为session容器,其中key为sessionID,value为一个简单SessionUser对象。对各个系...
2007-02-12 12:24:22
251
jboss中实现跨war的session同步
如何在jboss的两个war中实现session的同步呢,也就是在一个war中如何得之用户在另外一个war中登陆情况呢,或者如何实现在两个war中单点登陆呢?正在思考解决方案。...
2007-02-02 15:21:36
244
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人