js逆向 5分钟速通系列之–虾皮shopee
声明:文章内容仅供学习参考,严禁用于商业用途,否则由此产生一切后果与作者无关,如有侵权请联系作者进行删除。
日期: 2024.05.01
前言:本次逆向学习的目标是电商网站shopee。目标接口是详情页的商品信息接口 “/api/v4/pdp/get_pc” 。正常逆向思路是
抓包本地生成请求参数以及部分cookie去请求接口拿到数据。但是该网站请求参数 ‘X-Sap-Ri’ 以及 ‘X-Sap-Sec’ 难度并不小,逆向成本较高。我们的目标就是解决复杂问题,以柔克刚以解决问题为目标 去完成题目。
目标网站:
aHR0cHM6Ly9zaG9wZWUuY28uaWQvQXBwbGUtaVBob25lLTE1LVByby1DbGVhci1DYXNlLXdpdGgtTWFnU2FmZS1pLjI0MTMwODE0Ny4xODk4NTE1MzMyNw==
1.案例分析:明确这次案例的目标
进入网站第一件事就是明确数据接口,分析请求接口需要携带哪些东西(1.1)
1.1
接下来就是选择解题方法了。解题方法很多,不管是分析参数纯算还是通过环境方式调用网站原生js生成的方式,网上都有很多教程,那些大佬都写的很详细,我这里就不重复了 用一种我认为简单高效的方式去解决问题,虽然效率可能比不上前面说的方式,但是我们学习的目的也不要求什么高并发,玩玩得了。直接看请求堆栈。(1.2)
1.2
跟栈寻找到合适的方法导出(我这里后面直接用的浏览器环境,可以过滤掉极大部分环境检测 一些常规检测百度就能解决,至于设备风控相关需要修改chromium源码,建议参考飞翔逆向的文章) 如图1.3 导出需要的方法到全局
1.3
方法和参数我们都有了,测试过后也能用 (1.4)
2.结果验证:正确性验证
这种方式已经不用考虑正确性了,除非网站崩了,直接看图
这种方式无需考虑环境的问题,由于网络因素单设备还不能高并发,也基本触及不到风控。可以说稳定简单!!5分钟搞定一个大站!
结言
专注于用最简单的方式解决问题,大家手里有有趣的网站(只看国内网站)也可以分享我研究学习,我会继续用5分钟速通的方式来解决,旨在为大家提供一种新的简单的解决思路!