用nodejs配合python破解X-Ca-Signature,抓取博客积分数据

最新推荐文章于 2024-05-14 15:47:08 发布
最新推荐文章于 2024-05-14 15:47:08 发布
阅读量1.9k 收藏 6
点赞数 5
分类专栏: 问题解决 文章标签: python nodejs 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiramario/article/details/115630765
版权

世界上最稀缺的资源是时间。

在某一瞬间我惊恐得发现,一生三万天,已过三分之一,念及年少不更事,蹉跎而过,觉得心中有愧。至今无建树,脑袋里想起一句话,“不因虚度年华而悔恨,也不因碌碌无为而羞耻”。

如今发起少年狂,对一切都感起兴趣,深知往者不可谏,来着犹可追。空有胸中之宏远,奈何路漫漫其修远,深感无力,只有择一事,写点博客吧!来一点点弥补辜负的少年时光。

目录

准备

安装nodejs,安装fiddler,配置抓取https(后来我想到可以直接用chrome的network抓啊,fiddler抓https主要还是用于手机端

nodejs网上教程,很容易安装,fiddle配置https有点复杂,需要字节创建个fiddler证书,网上有教程,本人配置了好久才成功,而且只能抓chrome的https,mozilla浏览器仍然不行

用nodejs的原因是本来我已经安装好了,而且node里面用npm下载cropto-js比较方便,这个库可以用来模拟csdn的X-Ca-Signature参数的。X-Ca-Signature用的算法是HmacSHA256。要是能知道原理,也可以通过python直接写出来,关于HmacSHA256也值得另外写篇博客进行研究。不过有现成我就直接拿来用了。

在系统某个地方安装crypto-js,再创建一个js用于模拟X-Ca-Signature,本人创建的路径是D:\nodejsProject\csdn_blog_static

npm install crypto-js

在这里插入图片描述

积分接口

登陆CSDN,进入数据观星->博文数据在这里插入图片描述

配置好fiddler的https抓包后(chrome的network也可以),进入数据观星的博客数据,抓包结果如图
在这里插入图片描述

一般的网站只需要把报文头复制过来即可模拟登陆状态获取接口数据,但CSDN的报文里面有2个值是随时变化且只能用一次的。X-Ca-Nonce和X-Ca-Signature,因此每次请求接口这2个值需要自己计算。

通过chrome的devtool经过不断关键字匹配,终于匹配到这2个值计算的关键js文件。app.js 估计是业务代码 , chunk_vendors.js 估计是一些库的合并打包。这2个js是压缩过并且混淆过的,我们可以通过chrome自带的Pretty print让其更容易看,但是混淆过的变量方法名无法恢复复,只能辛苦下。

经过一番debugger,X-Ca-Nonce的生成方法是
在这里插入图片描述
X-Ca-Signature的方法是
在这里插入图片描述

b方法最终调用

var R = s.a.HmacSHA256(h, a)S = R.toString(s.a.enc.Base64);

HmacSHA256参数h是报文头的一部分再加上X-Ca-Nonce,a是appSecret固定值,后期估计会变。经尝试,成功写出相应的js代码:
在这里插入图片描述

至此,我们可以开始我们的抓取代码编写。

代码

nodejs

csdn_HmacSHA256.js:

var Crypto = require('crypto-js');


var nonceFunc = function() {
    return "xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx".replace(/[xy]/g, (function(e) {
            var n = 16 * Math.random() | 0
              , t = "x" === e ? n : 3 & n | 8;
            return t.toString(16)
        }
    ));
}
var nonce = nonceFunc(), appSecret = "9znpamsyl2c7cdrr9sas0le9vbc3r6ba", h="";


h += "".concat("GET", "\n");
h += "".concat("application/json, text/plain, */*", "\n");
h += "".concat("", "\n");
h += "".concat("", "\n");
h += "".concat("", "\n");

h += "x-ca-key:203803574\n";//目前看来也是固定值
h += "x-ca-nonce:" + nonce + "\n";
h += "/blog-console-api/v1/data/blog_statistics"


var hash = Crypto.HmacSHA256(h, appSecret);
var hashInBase64 = Crypto.enc.Base64.stringify(hash);
console.log(nonce);
console.log(hashInBase64);

python

CsdnKiramario.py:

import urllib.request
import urllib.parse
import os
import gzip
import json
import datetime
from openpyxl import load_workbook

class CsdnKiramario(object):

    def __init__(self):
   		#执行nodejs
        output = os.popen('node D:\\nodejsProject\\csdn_blog_static\\csdn_HmacSHA256.js')
		#读取nodejs种console输出,不是很严谨
        nonce = output.readline()
        signature = output.readline()
		
		#报文
        targetUrl = 'https://bizapi.csdn.net/blog-console-api/v1/data/blog_statistics'
        headers = {
            'Host': ' bizapi.csdn.net',
            'Connection': 'keep-alive',
            'sec-ch-ua': '"Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"',
            'X-Ca-Signature-Headers': 'x-ca-key,x-ca-nonce',
            'X-Ca-Signature': signature.strip(),
            'X-Ca-Nonce': nonce.strip(),
            'sec-ch-ua-mobile': '?0',
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36',
            'Accept': ' application/json, text/plain, */*',
            'X-Ca-Key': ' 203803574',
            'Origin': 'https://mp.csdn.net',
            'Sec-Fetch-Site': 'same-site',
            'Sec-Fetch-Mode': 'cors',
            'Sec-Fetch-Dest': 'empty',
            'Referer': 'https//mp.csdn.net/console/dataWatch/analysis/allarticle',
            'Accept-Encoding': 'gzip, deflate, br',
            'Accept-Language': 'zh-CN,zh;q=0.9',
            "Cookie": "替换成自己的cookie"
        }
        self.req = urllib.request.Request(url=targetUrl,method='GET', headers=headers)

    def run(self):
        res = ""
        # 爬取
        with urllib.request.urlopen(self.req) as f:
            res = f.read()
		
        ret = gzip.decompress(res).decode("utf-8")
        ret =  json.loads(ret)


        data = ret['data']
        analysDict = {}
        for statistic in data:
            name = (statistic['name'])
            num = statistic['num']
            analysDict[name] = num
		
		# 存入博客xlsx
        analysHeader = ["日期", "文章总数", "粉丝数", "点赞数", "评论数", "访问量", "积分", "收藏数", "总排名"]
        sourcePath = "D:\\麦芒\\私域计划\\博客\\博客数据.xlsx"
        wb = load_workbook(sourcePath)
        ws_active = wb['Sheet']
        row = []
        for headerName in analysHeader:
            if headerName == "日期":
                row.append(datetime.date.today().strftime("%Y/%m/%d"))
            else:
                row.append(analysDict[headerName])
        ws_active.append(row)
        wb.save(sourcePath)


if __name__ == "__main__":
    instance = CsdnKiramario()
    instance.run()

执行后
在这里插入图片描述

更多方法

不想手动执行的话,把python脚本加入windows执行计划,每天执行也可以。

参考博客
https://blog.csdn.net/DylanYuan/article/details/81533105
https://www.cnblogs.com/ruiy/p/6422586.html

kiramario
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
【精选博客】反爬过程中 x-ca-nonce、x-ca-signature 参数的解密过程
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
01-29 3793
本篇博客在 [请求头 x-ca-key、x-ca-nonce、x-ca-signature 加密分析第一篇]在上一篇博客我们已经捕获了参数的JS代码,这篇博客重点要将其在 Python 中进行复现,即使用 Python 重新编写参数逻辑。 x-ca-nonce 代码实现
请求头 x-ca-key、x-ca-nonce、x-ca-signature 加密分析第一篇
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
01-28 4312
x-ca-key、x-ca-nonce、x-ca-signature 相关说明 寻找 x-ca-key、x-ca-nonce、x-ca-signature 加密位置 提取关键加密逻辑 X-Ca-Key 解析 x-ca-nonce 解析 x-ca-signature 解析
csdn的x-ca-nonce和x-ca-signature算法破解实例.rar
09-11
csdn的x-ca-nonce和x-ca-signature算法实例 csdn的接口都要传x-ca-nonce和x-ca-signature 根据请求接口url计算
Python爬虫逆向——某公开数据网站实例小记(二)
最新发布
记事本
05-14 615
经过分析,headers里的内容有加密参数,则我们开始全文找headers。此网站经过分析,可以看出请求网址和参数均无加密,响应内容无加密。真正可以让我们进行学习的则是headers里两个比较明显的参数,可以看出是可以研究的。X-Dgi-Req-Nonce 和X-Dgi-Req-Signature。,可以看到有17处,由于不确定真正位置,因此,我们将17处依次打了断点。可以看到X-Dgi-Req-Nonce 是由l 生成的。重新请求后,依次查看headers断点,可以看到。可以看到请求后,断点会在。
关于CSDN获取博客内容接口的x-ca-signature签名算法研究
Hello_wshuo
10-27 3185
前言 源码下载 不知道怎么就不通过了,这篇文章放出去几个月了,然后突然告诉我不行了,所以我打算换个平台(至少不能在一棵树吊死),垃圾审核 我最初想直接获取html博客,然后保存在本地,最后发布到别的博客平台,但是html直接爬取样式布局方面很不协调,所以我决定寻早我原始的markdown格式(我都是用markdown写的,而不是用富文本编辑器) 接口 简单调试得到 https://bizapi.csdn.net/blog-console-api/v3/editor/getArticle?id=109204
CSDN博客接口基于java调用的x-ca-signature签名算法研究
as350144的专栏
11-17 2328
csdn接口调用签名算法,x-ca-nonce java生成代码,x-ca-signature java生成代码
CSDN博客接口基于Java调用的x-ca-signature签名算法研究.zip
04-25
在每次请求接口的时候都会在请求头中传入cookie;x-ca-key;x-ca-nonce;x-ca-signature;x-ca-signature-headers这五个参数。简单的分析不难得出x-ca-key和x-ca-signature-headers是两固定值,x-ca-nonce是个随机串,核心就是x-ca-signature的计算,本地基于Java实现,有实测代码,有js分析,也有总结,希望能够帮到大家
nodejs-security-private-ca
04-02
安装客户端库npm install @google-cloud/security-private-ca使用客户端库// Imports the Google Cloud client libraryconst { CertificateAuthorityServiceClient ,} = require ( '@google-cloud/security-private-...
基于nodejs的知乎爬虫,x-zse-96,支持文章,评论,图片下载到本地.zip
01-19
爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的工作流程包括以下几个关键步骤: URL收集: 爬虫从一个或多个初始URL开始,递归或迭代地发现新的URL,构建一个URL队列。这些URL...
vue-nodejs-elementUI-mysql-express-demo::star:vue+nodejs前后端分离项目,学习使用,包含基本的入门操作。包括从开始创建项目到最后部署的实现过程及过程中遇到的一些问题整理
05-30
vue+nodejs前后端分离项目,学习使用,包含基本的入门操作。包括从开始创建项目到最后部署的实现过程及过程中遇到的一些问题整理。 项目预览地址: 评论讨论地址: 数据库地址:express-demo/doc/demo2.sql MySQL...
databunker-nodejs-example:databunker-nodejs-示例
05-15
databunker-nodejs-示例这是使用以下技术构建的nodejs登录和注册页面的示例: Passport.js Magic.link Databunker 该项目最初基于Magic.Link Nodejs示例: 深入回顾Databunker的。先决条件1.启动Databunker服务: ...
从前端到后端:CSDN博客x-ca-nonce与x-ca-signature的Java生成之道.zip
04-29
前端核心js分析,Java代码生成x-ca-nonce与x-ca-signature
rh-nodejs6-nodejs-http-signature-1.1.1-2.el7.noarch.rpm
01-03
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
通过Postman实现API网关的请求签名与调试
weixin_34405332的博客
08-29 2895
通过Postman实现API网关的请求签名与调试 1. 前言 Postman是一个非常强大的HTTP发包测试工具, 目前Postman已经提供了Windows/Mac/Linux系统的客户端的下载,使用很方便。不过API网关的调试,需要对HTTP请求进行签名才能调用,无法使用简单的curl等发包工具完成,但我们可以使用Postman工具提供的Pre-re...
基于timestamp和nonce的防止重放攻击方案
热门推荐
koastal的博客
12-04 4万+
以前总是通过timestamp来防止重放攻击,但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce(Number used once)来保证一次有效,感觉两者结合一下,就能达到一个非常好的效果了。 重放攻击是计算机世界黑客常用的攻击方式之一,所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 首先要明确一个事情,重...
某网站X-Signature签名破解
cp's blog
11-22 1870
网站签名机制是很常见的技术手段,本文介绍某网站X-Signature签名破解,js还原
python signature函数-对python函数签名的方法详解
weixin_39683241的博客
11-11 6097
函数签名对象,表示调用函数的方式,即定义了函数的输入和输出。在Python中,可以使用标准库inspect的一些方法或类,来操作或创建函数签名。获取函数签名及参数使用标准库的signature方法,获取函数签名对象;通过函数签名的parameters属性,获取函数参数。# 注意是小写的signaturefrom inspect import signaturedef foo(value):retu...
php hmac sha256签名,基于HMAC-SHA1的RESTful API 授权签名方法
weixin_39681171的博客
03-18 668
引言为了避免API被非法调用,调用过程中被篡改和重放攻击,需要增加API调用授权。对调用信息进行签名和验签是常用的授权方法。调用双方约定秘钥并内部存放,利用秘钥基于hash算法(常用的有MD5,SHA1和SHA256)通过HMAC运算生产签名signature。参考传递方式通过header传递,格式:Authorization: CoAPI-HMAC-SHA1 $sign同时传递header X-...
CSDN登录接口
cxyd4399的博客
04-17 692
POST /v1/api/app/login/doLogin HTTP/1.1 X-Ca-Key: 203789067 Accept: application/json X-Device-ID: aid61415fd8a78b4290b9fd8459f5a5ed93 X-OsVersion: 28 X-DeviceModel: hi6250 unknown X-RandomNum: 51079 ...
node mysql insert语法_nodejs之MySQL插入数据--提示语法错误
06-07
好的,针对您的问题,我可以为您提供以下解决方案: 在 Node.js 中,插入数据到 MySQL 数据库可以使用以下语法: ```javascript const mysql = require('mysql'); const connection = mysql.createConnection({ host: 'localhost', user: 'root', password: 'password', database: 'database_name' }); connection.connect(); const sql = 'INSERT INTO table_name (column1, column2, column3) VALUES (?, ?, ?)'; const values = ['value1', 'value2', 'value3']; connection.query(sql, values, (error, results, fields) => { if (error) throw error; console.log('Data inserted successfully'); }); connection.end(); ``` 其中,`table_name` 为要插入数据的表名,`column1`、`column2`、`column3` 为要插入数据的列名,`value1`、`value2`、`value3` 为要插入的数据,`?` 是占位符,可以避免 SQL 注入攻击。 注意,使用占位符时,需要将要插入的数据放在一个数组中,并在 `query` 函数的第二个参数中传入。 同时,如果插入数据时提示语法错误,可以检查 SQL 语句是否正确,以及是否将数据的值以正确的格式传入。 希望这能帮到您!如果您还有其他问题,可以随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值