JS逆向加密——点评店铺详情_token参数(三)

最新推荐文章于 2024-08-30 08:27:40 发布
最新推荐文章于 2024-08-30 08:27:40 发布
阅读量988 收藏 6
点赞数 1
分类专栏: JS逆向 python 爬虫 文章标签: 爬虫 python 逆向 点评 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39551311/article/details/114367273
版权
爬虫 同时被 3 个专栏收录
51 篇文章 26 订阅
订阅专栏
python
44 篇文章 3 订阅
订阅专栏
JS逆向
37 篇文章 59 订阅
订阅专栏

点评店铺详情_token参数(三)

 

网址 :http://www.dianping.com/shop/F4nE08K09Ptc47y4  这个和 美团 是一样的 token加密

可以在请求地址 找到 allReview 的请求链接,请求参数有多个,但是多次请求对比发现只有 token 参数是变化的

这些请求都xhr的,也都有token参数,走的是同一个逻辑

注意点:

  • 这个token不是监测的,是时间过期的
  • 后面测试发送,参数也是随便给的,后端没有判断

 

现在来分析 _token 参数

 

  1.  看到 getPoiList 请求是 xhr 的ajax发起的请求,我们可以直接在浏览器打上 xhr 的断点,刷新页面会直接断下
  2.  断在 JS 后,查看浏览器的调用栈,精准的找到 发起请求的JS方法
  3.  找到 JS 方法后 在分析,JS发起请求的参数,再进一步分析参数的由来
  4.  找到参数后,继续找到生成参数的方法,把生成参数的JS扣出来,
  5.  直接执行扣出来的JS方法,填补环境和变量,测试调用 得到加密的结果 参数即可

XHR 断点 :

   和 之前 操作 美团的方法一样,不过这个因为请求了多个ajax,所有你打断点后,多跳过几次看到 是 allReview 请求的时候,在调试

可以看到 _token: n  和 n = h(i, e.sendData); 我们进入 h 方法里面调试

  s = location.protocol + t + "?" + r;  跳过 传入的 参数 进行拼接,传入 i.reload 加密,再次进入  i.reload 方法,就是和 美团一模一样的加密

进入 后 和美团是 一样的

直接全部扣下来,补齐环境,就可以获取 token参数了。

最后发现  token 是有效期的,有效期都是可以用的,

在 获取 s 参数之前 应该也要把 js 扣下来,才能动态的请求其他店铺的数据吧

 

.含笑.
关注
专栏目录
python】最新版抖音js逆向拿到数据,非常详细教程(附完整代码)
景天科技苑
07-01 2万+
抖音数据采集
JS逆向加密——某条_signature参数加密
含笑
03-17 2318
网址 某条网址 请求分析 多次请求查看,查看请求的信息和对比参数,主要有俩个参数 min_behot_time 和_signature 会发生变化 1. min_behot_time 参数 多发现对比请求 发现就是上一次请求的 返回值里面的时间 2._signature 参数 才是主要分析的加密参数 首先 全局搜索_signature 参数,进入JS文件找到_signature 的地方,打下断点, 刷新网页或翻页,断点会断在这个位置,也可以看到加密后的值_signature ...
爬取大众点评美食店铺信息,解密_token的思路
qq_40522828的博客
03-12 4159
爬取大众点评美食店铺信息,解密_token的思路 先随意进入一个店铺的链接,例如:http://www.dianping.com/shop/127857802 进入之后打开控制台,进入之后选择xhr,即筛选出动态加载的链接 可以看到图片里面就有一部分的详情内容,我们看一下它的请求头,发现有个_token参数 但我们看不出它是什么内容,因为被加密了,也不知道它的加密方式,但我们多打开几个网页来看...
Js逆向练习制造Token与Id
恒Keep毅
02-11 1289
前言: 闲来无聊,把《Pyhton3网络爬虫开发实战(第二版)》看完了Js逆向部分。 最后的实战部分感觉挺有挑战性的,正好崔佬也有详细的教程。 平时的逆向都是野路子,刚好快回学校了有时间。 那为什么不自己动手下呢?下面记录下过程,只会更加详细。 观察页面: 废话不多说,直接上靶场:https://spa6.scrape.center 我们的目标是:1.拿到列表页的请求Ajax的Token加密 2. 详情页的Id加密Token 查看网页源码可以看到:很强烈的Vue打包出来的样子,即使用的使用SPA页面
js逆向-Mytoken请求参数逆向
逆向新手的博客
01-04 665
code参数逆向
超详细百度翻译js逆向token 和 sign)
weixin_44154094的博客
05-16 3346
1.抓包看看需要什么参数选中的数据包有点可疑 请求的url和post的参数 并且返回了这个内容 我们用fiddler抓包看到具体的设置cookies等过程 第一次请求返回了一个setcookie, 第二次请求带上了第一次返回的cookies,有两个有用的BAIDUID , FG 其他的是浏览器设置的,不用理会 刷新就知道了,只有sign和token两个参数是变化的,query是每次请求的字符串, langdetect是检测语言的, 语言检测不用管,用python实现很容易 2.分析sign 全局
解决TOKEN已过期,TOKEN加密js逆向模拟
朴拙科技的博客
10-04 1660
{“code”:10004,“count”:null,“data”:null,“message”:“TOKEN已过期”}’
JS逆向进阶篇【去哪儿旅行登录】【下篇-逆向Bella参数JS加密逻辑&Python生成】
热门推荐
孤寒者的博客
03-05 3万+
JS逆向进阶篇【去哪儿旅行登录】【下篇-逆向Bella参数JS加密逻辑&Python生成】
app逆向入门分析——破解某APP登陆请求参数!就问你厉不厉害?
PythonJavaPHP的博客
11-09 565
前言: 前段时间做爬虫遇到一个app,里面的数据需要登录之后才能拿到,而且登录不能用密码,只能通过验证码登录。 这不是明摆着欺负人么,按赵四哥那句话来说就是: 生死看淡,不服就干! 所以接下来手把手带大家就某个app登陆请求的加密参数进行分析破解, 从而实现从网络抓包的密文到明文的转换。 环境配置: Python Java dex2jar(将apk反编译成java源码) jd_gui...
简单js逆向AES加密
qq_65898266的博客
08-26 1138
我们查看网页,发现网页是动态加载的,请求参数没有加密,不过响应的数据都是密文,那们我们的目标就很明显了,将密文解密,得到我们真正想要的数据。还是老方法,将返回密文数据的网址目录复制下来,到源代码面板,点击XHR,将网络目录复制进去,然后刷新页面,这里就不作过多的解释了,详细请看。这里教大家一个简单找加密地方的小技巧,既然服务器返回加密的数据,那网页肯定要解密了,我们可以在全局搜索decrypt,看看能不能找到。经过调试发现第一个网址没有找到加密逻辑,没关系,反正有这么多加密的网址,我们接着换一个。
[网络安全自学篇] 八十.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
Pythonjs实现逆向加密参数破解.zip
06-27
资源包含文件:设计报告word+源码 部分网站的 url 构成中含有加密参数,这些参数加密方法写在了 JavaScript 中,而 js 通常经过了压缩,混淆和加密;本项目通过 AJAX 断点,hook 方法先寻找到加密入口,其次通过 playwright 将加密方法挂载到 window 对象中,达到利用浏览器环境执行 JavaScript 方法的目的,从而在不需要知道具体加密逻辑的情况下,模拟参数加密。 详细介绍参考:https://blog.csdn.net/newlw/article/details/125480693
Python 爬虫进阶必备 | 某众点评 Web 加密参数 _token 逻辑分析
咸鱼学Python的博客
07-05 462
点击上方“咸鱼学Python”,选择“加为星标”第一时间关注Python技术干货!今日网站aHR0cHM6Ly93d3cuZGlhbnBpbmcuY29tL3Nob3AvRzNybjh4b...
JS逆向之5173password
onejane
04-26 349
抓包 登录URL: POST https://passport.5173.com/?returnUrl=http%3A//www.5173.com/ 参数: smsLogin: 0 userName: 15806204095 password: 6a771c7ecf7ebe2c3d4c0075cdb96ae5 mobileNo: smsCaptcha: category: passpod: __validationToken__: 1680e6a3947c43aea45d83e69b0d7291 _
破解大众点评token
qq_14955245的博客
12-17 2847
  {"id":0,"name":"极炙·台灣精致炭火烤肉","branchName":"","altName":"","shopPower":50,"shopType":10,"priceText":"¥216/人","address":"天河路178-
推荐使用:shopify-token —— 简化您的Shopify应用开发之旅
最新发布
gitblog_00078的博客
08-30 889
推荐使用:shopify-token —— 简化您的Shopify应用开发之旅 shopify-tokenGet an OAuth 2.0 access token for the Shopify API with ease项目地址:https://gitcode.com/gh_mirrors/sh/shopify-token 在电商领域,Shopify以其强大的电商平台功能和灵活的第方应用集...
逆向某壳登录参数password
weixin_43757372的博客
08-10 135
扣取某壳登录参数
【Web】记一次破解 JS 加密
高厉害 0w0
07-11 1093
一直在寻找一个可用的搜题接口 之前刷网课搜题一直用的 “帅搜”,写了个 py 的脚本,平常用起来很方便。 后来也不知道什么原因,人家把接口给关闭了。 import win32clipboard as win import win32con from requests_html import HTMLSession,sys from urllib import parse import time def getText(): win.OpenClipboard() text = win.Ge
js逆向-逆向部分技巧总结
Deng872347348的博客
01-02 1773
js逆向-逆向部分技巧总结
微信公众号 token php,微信公众号开发——access_token的获取
05-30
获取微信公众号的access_token是进行微信公众号开发的必要步骤之一。下面是获取微信公众号access_token的php代码示例: ```php //替换APPID和APPSECRET为自己的值 $appid = "your appid"; $appsecret = "your app...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.含笑.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值