某拍网登录接口参数加密流程

已于 2023-03-22 13:37:48 修改
阅读量112 收藏
点赞数
文章标签: 爬虫
于 2023-03-22 13:33:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/puppies/article/details/129702294
版权

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

研究目标
  • 网址: aHR0cHM6Ly93d3cuYWlwYWkuY29tLw==
  • 研究目标: 登录接口的user和password参数
流程分析

在这里插入图片描述

password

相信有经验的老玩家一眼就可以看出来我输入的密码是啥,就是一个纯md5加密就不过多的分析了

user

在这里插入图片描述
直接进去这个断点可以很清晰的看到user就是b而b就是在上面生成的,所以我们直接打上断点去分析流程.
在这里插入图片描述
这里可以很清楚的看到就是对账号进行了一次RSA加密
第一种方法 nodejs模拟

var o ="自己网页上的密匙";
const NodeRSA = require('node-rsa');
const md5 = require("md5");
 function get_data(){
    const publickKey = new NodeRSA(o, { encryptionScheme: 'pkcs1' });
    const encCode = publickKey.encrypt("账号", 'base64');
    pwd = md5("密码")
    console.log({"user":encCode,
    "pwd":pwd
}) 
 }
 get_data()

或者


import JSEncrypt from 'jsencrypt'

var o = "私钥";
var m = new JSEncrypt();
m.setPublicKey(o);
var l = m.encrypt("账号");

console.log(l)

第二种方法python模拟

import base64
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5 as Cipher_pkcs1_v1_5
#注意这里必须写成这种格式的 不然这个库的PEM.py中是会匹配不到私钥的内容的 如果不想这么写 可以改PEM.py中126行的正则表达式
data = """-----BEGIN PUBLIC KEY-----
私钥
-----END PUBLIC KEY-----"""

text = '账号'
a = bytes(text, encoding="utf8")
rsakey = RSA.importKey(data)
cipher = Cipher_pkcs1_v1_5.new(rsakey)
cipher_text = str(base64.b64encode(cipher.encrypt(a)),encoding="utf-8")

第三种方法
这个才是我们的重点扣代码。
断点打在new函数的地方
在这里插入图片描述
然后搜索JSEncrypt 看看这个函数是在哪赋值的。如图所示点进去看看
在这里插入图片描述
外面一个自执行函数 里面一个三元表达式给t.JSEncrypt赋值 这里的t对象就是window,直接补个window = this让代码不报错就ok了。
在这里插入图片描述

12355k
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java接口 参数MD5加密.zip
06-19
备用接口加密。 包含md5加密工具类,参数校验工具类,返回错误码枚举类,演示接口
vue接口请求加密实例
10-14
主要介绍了vue接口请求加密实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
JS逆向学习~微信公众平台登陆接口加密参数分析
m0_46639364的博客
11-23 534
今日饭后小目标 首先随意输入账号密码发送登陆请求,我输入密码‘123456’,点击登录之后捕获右边登录请求一枚 在发送参数中能看到我们填写的username以及pwd,这里明显pwd也就是密码是经过加密的,现在我们需要分析pwd的加密过程。 加密结果为32位的16进制字符,盲猜是md5加密 接下来打开search面板,搜索pwd关键字,这里分享一个小技巧,有些网站存在很多匹配但无意义的字符,比如这里如果直接搜pwd,还会匹配出很多pwdNum,pwdWord之类的词,增加了检索时间,所以建议搜索的时候
Vue前端浏览器链接/接口参数实现加密
仙人掌上的刺猬的博客
12-16 4898
由于项目创建之前后端设计不合理,导致详情页链接参数id为顺序序数(例:1,2,3...等等),安全系数非常低(虽然我们前端做了菜单权限、按钮权限、Api权限等等),现在要前端解决下浏览器链接/接口参数实现加密
API 接口加密及请求参数加密
GeeLoong`s Blog
09-25 1万+
在API开发过程中我们不妨会考虑接口安全问题;那么该如何防范呢,以下是我个人的简单总结。 这里只讨论数据加密问题,不讨论token认证问题,关于token认证问题,可以参考其他相关博客。 以下是本人用过的几种加密方法的精简版,当然,也可在以下基础上做些处理,如: 参数排序、 随机字符串、 时间戳、 签名等等,同时还可以配合https来使用 ,具体情况看自己的业务需求。 一、签名加密方式...
如何写出安全的API接口接口参数加密签名设计思路
热门推荐
dz45693的专栏
12-14 1万+
开发中经常用到接口,尤其是在面向服务的soa架构中,数据交互全是用的接口。                几年以前我认为,我写个接口,不向任何人告知我的接口地址,我的接口就是安全的,现在回想真是too young,too simple。但凡部署在广域网的应用程序,随随便便的好多工具可以根据ip或域名扫描应用程序的所有暴露的接口,进而分析参数,注入程序,分分钟被攻击。        
接口访问加密方式
tiansan的博客
11-28 1万+
接口加密方式设计: 请求时签名 请求的所有参数自然排列,先进行des加密再进行base64加密生成最新字符串(作为sign)。 把生成的sign+约定的秘钥拼接成新的字符串,进行md5加密成新的字符串(作为md5)。 例如:  // 1. 将参数按照 键 自然排序并拼成URL参数形式     $data['phone']='11111111111';       $data['u
jmeter加密接口测试(实例详细)
01-03
文章目录一、导出加密、解密方法jar包;二、加密jar包导入到jemter中三、BeanShell PreProcessor加密插件中代码的编写1.加密插件四、把加密数据进行解密。1.解密插件 一、导出加密、解密方法jar包; 使用工具是...
api验证接口参数加密+时效性验证+私钥+Https
07-26
接口参数加密+时效性验证+私钥+Https
URL参数加密解密,URL参数加密解密
11-15
URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;
前端登录参数加密传输
盼盼大小姐的博客
10-28 471
1、安装crypto-js npm install crypto-js 2、单独文件封装加解密方法 import CryptoJS from 'crypto-js' // 默认的 KEY 与 iv 如果没有给 const KEY = CryptoJS.enc.Utf8.parse("_aes_secret_key_"); const IV = CryptoJS.enc.Utf8.parse('_aes_secret_iv__'); /** * AES加密 :字符串 key iv 返回base64
python实现将yaml文件中的参数进行Rsa加密--例:加密登录接口
weixin_44688529的博客
06-08 1198
请求接口时,部分参数需要加密传输,如账号、密码这些敏感信息,这时需要用到加密处理,以下的处理结合yaml文件,将yaml文件中的账号、密码进行加密login.yml 二、加密函数 三、使用加密登录 返回结果:......
接口请求之加密参数(用户名和密码),使用md5方法加密
王子的博客
03-25 8836
一:接口请求涉及到一些类似用户名和密码等敏感信息的东西,请求肯定要进行加密;        当然首先你得问开发,他们对参数是否加密,用了什么方式进行加密;       我这里就用md5加密方式对请求的密码进行加密。 二:前端对字符串类型的密码进行加密,输出秘钥,传递时候是传递秘钥,后台根据相同的加密方式解析。 三:代码附上:    1.封装成为一个方法,用的时候,直接使用即可。
接口参数加密
yarbrough
08-15 2731
最近,公司有一些接口需要对合作方开放,需要做参数加密以及合作方身份认证,下面是我的做法: 思想:因为部分接口需要加密,所以通过自定义注解,加上注解的接口才进行校验。 我们会为合作方下发 partnerId 和 privateKey ,客户端和服务端保留这两个信息。 加密方式: 1.必须提交的参数 POST提交 signature: 签名 //必填 partnerId: 合作者ID //必填 t...
Spring Boot 实现接口参数加密和解密
m0_43396956的博客
06-07 3066
Spring Boot 实现参数加密和解密
Dao接口返回数组_解决API接口开发安全性的四种方案
weixin_39857480的博客
11-20 295
如今各种API接口层出不穷,一个API的好与不好有很多方面可以考量,其中“安全性”是一个API接口最基本也是最重要的一个特点。尤其是对于充值缴费类的API接口来说,如话费充值API接口、流量充值API接口、游戏Q币充值、水电煤缴费接口等,安全与否直接影响到个人或企业的财产,所以做好API接口的安全性问题尤为重要,本篇文章我们就来聊聊关于API接口的安全性。所谓接口,服务器端直接根据user_id来...
Java实现http接口参数和返回值加密
站在墙头上的博客
12-05 9319
Java实现接口参数和返回值加解密
python爬虫基本使用
最新发布
PLB20041108_123的博客
05-17 1206
网络爬虫(英语:web crawler),也叫网络蜘蛛(spider),是一种用来自动浏览万维网的网络机器人。通俗来讲,网络爬虫就是模拟浏览器发送网络请求,接收请求响应,一种按照一定的规则,自动地抓取互联网信息的程序。原则上,只要是浏览器(客户端)能做的事情,爬虫都能够做。
python爬虫[简易版]
Gavin
05-15 278
接下来就是分析返回的数据,解析数据~拿出图片的url。第一步:打开网站,分析图片的数据源来自哪里,发现我们要的数据原来自这里,
jmeter加密登录接口测试
05-24
在 JMeter 中测试加密登录接口的步骤大致如下: 1. 使用 HTTP请求默认值 添加登录接口的 URL、请求方法和参数。 2. 添加 HTTP Header管理器,为登录请求添加必要的请求头信息,例如 User-Agent、Content-Type 等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值