本篇分享京东网页版 x-api-eid-token 的生成方式以及逆向的经验

kevinsir2003

已于 2024-05-14 21:41:20 修改

阅读量2.7k

点赞数 1

分类专栏：逆向工程文章标签： python

于 2023-07-05 13:10:17 首次发布

本文链接：https://blog.csdn.net/kevinsir2003/article/details/131553376

版权

逆向工程专栏收录该内容

2 篇文章

订阅专栏

易语言版本和python版本都可实现

打开页面之后，寻找x-api-eid-token的生成接口。

就是这个jstk.do 的接口，其中a参数和d参数都是需要处理的加密参数。

点击接口启动器，尝试寻找入口。
点击进入js文件，发现是个eval方法，生成了一段代码在内存中执行。
再次点击启动器，进入vm文件中，到这里需要全部复制下来，刷新页面再次请求数据的时候，会得到我们需要的参数。
代码复制下来之后，直接在ide中执行

6.执行的时候，发现报错，这里就是补环境，用jsdom进行补充环境，再次执行就OK了。

调用方法的时候，发现返回的参数长度和实际的长度不一致。这就需要调试，最简单的方式就是浏览器中断点和ide中同时断点，仔细检查参数即可。
调用接口，成功获取到了结果。

有不明白的可以加 vx 同号呢！！！

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

kevinsir2003

关注关注

1
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

某东x-api-eid-token风控参数分析与破解

zhouzhou_98的博客

11-07

552

x-api-eid-token是京东的风控参数，在接口当中，如果没有该参数，有一定的概率能请求成功，但是在请求一段时间后，会报403权限失败的，该参数主要通过jsTk.do这个接口生成，并且会将其存储到cookie当中。

eid-token参数分析与Python算法还原

吴秋霖的博客

06-30

1843

某接口参数加密详细分析与算法还原

参与评论您还未登录，请先登录后发表或查看评论

狗东x-api-token和log

weixin_45992775的博客

07-12

469

观察发现有的地方不仅有x-api-token，还有log

JD token解密之旅

qq_33239778的博客

01-16

3628

京东token解密京东的token加密在 unify.min.js中从图中可以看出 token是由 lr.hex_md5(r.report_ts + lr.md5Key)组成，通过测试可以发现，就是普通的md5加密 r.report_ts + lr.md5Key 参数获取 r.report_ts 看着ts两个词就感觉有点熟悉，通过查询发现就是13位时间戳通过搜索 getCurTime() 方法，发现 report_ts 就是13为时间戳 md5Key 参数通过全文搜索 md5

京东PC端登录算法逆向-笔记

最新发布

技术学习交流

03-03

1227

aksParamsB 这2个参数都是一个算法只是在初始化的时候会调用一个init接口其中返回一个Key 用于加密最后url编码一下结果就可以了总体算法不难主要在风控上！SummerCryptico.encryptData(n, t + "") 继续跟进到了 SummerCryptico这个库文件直接全选复制出来。堆栈定位到请求发出的位置。r 是加密函数进去看看。这2个参数是加密的。

京东x-api-eid-token生成源代码（易语言）

gitblog_06645的博客

09-26

535

京东x-api-eid-token生成源代码（易语言）【下载地址】京东x-api-eid-token生成源代码易语言本仓库提供了一个用于生成京东x-api-eid-token的易语言源代码。该源代码可以帮助开发者快速实现京东API的eid-token生成功能，适用于需要与京东API进行交互的开发项目 ...

京东h5st和x-api-eid-token逆向分析

m0_72605044的博客

11-16

5102

e是之前的对象做了处理，body已经知道是sha256后结果，中间一串固定，最后是一个当前时间戳。接下来就是模拟生成算法了，这里我采用了纯算法，完全没必要扣js,毕竟一扣就是好几万行代码。经过测试发现对其检测并不是很严格，重点还是这个h5st这个参数，废话不多说直接来分析吧。这里我们找他的加密方法，发现他是由这个r方法进行加密这个h5st这个参数的。此时发现h5st已经生成了，向上跟栈查看哪里调用了该函数。首先先抓个包，分析他的参数，发现有一个h5st这样的参数。r是由这几个参数生成的。

qq_2045339400

05-25

2324

京东JD某东 sign、body、paysign、eid、log、Numberenc、encStr、h5st、免费调用例子

京东x-api-eid-token生成工具：易语言源代码推荐

gitblog_06605的博客

09-26

1002

京东x-api-eid-token生成工具：易语言源代码推荐【下载地址】京东x-api-eid-token生成源代码易语言本仓库提供了一个用于生成京东x-api-eid-token的易语言源代码。该源代码可以帮助开发者快速实现京东API的eid-token生成功能，适用于需要与京东API进行交互的开发项目 ...

不知妻美，sign参数分析

2403_87731058的博客

12-09

864

以 x-api-eid-token 作为入口点，分析 java 层的最终点在 BitmapkitUtils.getSignFromJni。结合 frida-trace 和 findHash 找到关键点 sub_27A4。在这个函数内部使用了随机数的方式进入不同的分支。使用 CASE2 分支作为今天的入口点，最终成功得到 sign 具体的算法逻辑。

x-api-eid-token逆向分析之jsTk.do算法中a和d参数

一个自学不成材的程序员

01-12

1056

其实就来自jsTk.do这个接口返回的内容，而jsTk.do接口中a和d又来自同一个加密算法，所以总体来说还是难度很低的。适合新手。

【逆向案例】京东商品详情合集|京东数据采集|京东API接口

电商数据Girl的博客

02-19

2279

目前分析商品详情页需要cookie以及params中的x-api-eid-token，本文的目标是参数中的x-api-eid-token。后面的补环境部分就省略了，需要注意的是需要用到cookie信息。看上去是写死的全局搜发现在文档里面写死的。collectConfig定义全局的对象。调用生成x-api-eid-token。这个接口又有两个加密的值 a 和 d。重新打断点（断不住记得清一下缓存）简单跟一下很快就可以定位。主要是下面几个需要分析的。补一些函数和环境就可以了。

weixin_44276861的博客

09-06

2154

解决：使用代理IP (部分发包请求由服务器完成，客户端在使用代理IP时需要加服务器IP加入代理商白名单，也可以通过调用算法本地自己建立发送请求)地址：https://jdmall.lanzouv.com/b00uyevi9i (1.0.4以下版本不再可用)地址：https://www.mtiqi.cn/home/#/public-user/reg。解决：关闭Windows安全中心的实时扫描，添加软件为信任，不阻止…下载花生壳：https://hsk.oray.com/.新增:算法14个接口若干。

京东滑块js逆向

qq_59970317的博客

08-03

3698

通过接口获取两张验证码图片 ——> 在内存里面处理图片 ——> 通过opencv计算出缺口的距离 ——> 模拟封装滑块的轨迹参数 ——> 逆向加密轨迹的参数 ——> 加密并请求验证接口。注意：晃动的轨迹x是要从0开始的，可以通过扩大F2的大小，压缩页面的大小。关于滑块轨迹的模拟，这个网上的代码挺多的，我直接参考翻译了一个python的版本出来。通过接口返回值可以判断出第二个接口是获取图片的接口，第三个接口是验证滑块的接口。图片接口的bg是背景图，patch是滑块都是base64编码的。

某东jsTk/x-api-eid-token纯算

weixin_56411502的博客

11-25

852

本文章中所有内容仅供学习交流，不可用于任何商业用途和非法用途，否则后果自负，如有侵权，请联系作者立即删除！耗时：60ms--加密结果：7TJI7TceW0Pu7Tce7TZ37Tce7Tce7TJ</联系方式：UVHvvJo5MzE4Mzc3NjM=耗时：01ms--解密结果：{"pin":""}"msg": "成功",明文： {'pin': ''}

京东2025-API-接口【1】

qq_2045339400

10-23

717

支持的算法：京东sign,京东eid,京东ep,京东uuid,京东jdgs,京东whwswswws,京东h5st4.8+,京东paysign,京东address地址加密,encstr,京东rechargeNumber…API文档地址：https://doc.apipost.net/docs/34702e378c04000。最后更新：2024-10-22 00:00:00。443端口中转速度稍慢。

京东JD取ck或者token

qq727887261的博客

02-08

2292

京东JD取ck或者token。

京东物流js逆向加密解析

码王吴彦祖的博客

01-16

1212

ciphertext和data都在这里面，data就是encrytedData，这里用到的就是基础加密模块CryptoJs和JSEncrypt，从整体加密代码上来看，秘钥和填充向量分别是h，v，AES和RAS都用到了这两个向量，那么根据逻辑分析出服务器大致解密流程，将h和v经过RAS加密后为ciphertext，服务器接收到后，解密出h和v，用这个h和v去解密由AES加密的data字段，从而解密出所传参数。我们把整个请求curl复制下来查看接口加密参数，看一下本次需要破解哪些参数，如下。

java获取京东token_京东开放服务平台（JOS）关于token问题汇总（一）

weixin_33953395的博客

02-27

3633

很多京东pop商家以及第三方软件服务商在对接京东开放服务平台API接口时，会遇到各种与token相关的问题，下面对于合作伙伴经常遇到的问题做个汇总：问：1丶京东pop商家在仓库对接京东后台的时候需要accessToken，这个怎么如何才能获取？答：如果您的应用和京东的JOS对接后，需要获取一些与用户紧密相关的信息(如订单丶商品丶促销等)，为保证数据的安全性和隐私性，需要取得用户的同意，引导用户...

x-api-eid-token

07-27

引用\[3\]中提到了tk、fp、ts、ai、algo这五个值的由来分别是：接口处返回、浏览器指纹、格式化的时间戳、appid、加密库。根据这个信息，我们可以推断x-api-eid-token可能是其中之一。然而，根据提供的引用内容，无法确定x-api-eid-token的具体含义和用途。请提供更多相关信息以便我能够给出更准确的答案。 #### 引用[.reference_title] - *1* *2* [百度小程序jd的token提取](https://blog.csdn.net/shuishen49/article/details/124313598)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [js逆向-某东h5st](https://blog.csdn.net/weixin_46672080/article/details/130573416)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]