某网站X-Signature签名破解

最新推荐文章于 2025-03-04 09:19:18 发布
最新推荐文章于 2025-03-04 09:19:18 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 爬虫 js逆向 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42306041/article/details/127986854
版权
本文详细解析了一个网站中X-Signature签名的生成过程。通过全局搜索,定位到app.xxx.js,发现签名是对请求参数进行特定操作。深入分析后,揭示了签名是基于参数排序后的MD5加密,并提供了JavaScript补全函数的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网站地址: aHR0cHM6Ly9mc2UuYWdpbGVzdHVkaW8uY24= (b64解密)
先全局搜索X-Signature,跳转到app.xxx.js里,找到X-Signature,发现是对请求参数做了_操作,向上_为d
在这里插入图片描述
向上找d, d为一个函数,
在这里插入图片描述
跟到这里打印i值(“_platform=web,_ts=1669108721743,_versioin=0.2.5,keyword=火车,limit=12,page=1,”)是把参数按顺序进行拼接,到这里可看出 l()(i)为X-Signature,l函数就是重点了,跟到l()函数里
跳转到 chunk-lib.xxx.js里, 这里就需要进行一系列补函数了,

了解本专栏 订阅专栏 解锁全文 超级会员免费看
x-ca-signature 签名生成原理与实现
AI天才研究院
02-18 156
让我帮你详细解析 x-ca-signature 签名的生成原理和实现。首先让我搜索一些最新的相关资料作为参考。基于搜索的资料,我将详细为你解析 x-ca-signature 签名的生成原理。
某小程序sign签名参数逆向分析
吴秋霖的博客
01-02 4087
小程序逆向分析某平台请求头sign签名参数加密
JS逆向:【硬干货】手把手实战X条_signature参数破解(上)
weixin_47202458的博客
05-26 2059
本文仅供学习交流使用,请勿用于商业用途或不正当行为 如果你实在要这样干,别TM找我背锅 另外,如果不小心侵犯到贵公司的隐私和权益 能不能不要抓我,我非常愿意被招安 这是本公众号的第一篇技术文章,会相对照顾刚接触JS逆向的同学,内容会稍显细致。 老规矩chrome浏览器F12启动开发者工具,打开某条首页,某条的下拉数据加载是ajax的,所以我们在network面板,直接查看XHR的请求,滚动页面后,能看到具体获取数据的请求,如图 请求参数中as、cp、_signature这三个参数的值是随机的,很明显我们今
JS逆向:【硬干货】手把手实战某条_signature参数破解(下)——WebSocket与JS函数
weixin_47202458的博客
05-27 2433
本文仅供学习交流使用,请勿用于商业用途或不正当行为 如果侵犯到贵公司的隐私或权益,请联系我立即删除 前两篇文章: js逆向:【硬干货】手把手实战某条_signature参数破解(上) js逆向:【硬干货】手把手实战某条_signature参数破解(中) 我们介绍了如何分析定位关键加密函数的位置,以及如何抠出需要的js代码 之前我提到需要将Index页面源代码里的init代码扣下来,现在又发现,其实没有init生成的值也能用,而且调试起来更简单,需要补的环境代码更少。 我们先将之前扣的代码里的init这部分代
最新某条_signature破解
weixin_42531807的博客
05-16 5792
今天给大家带来某头条的_signature签名破解。 目标URL: aHR0cHM6Ly93d3cudG91dGlhby5jb20v 用base64解密得到。 图1-1 在推荐模块,这就是我们想要抓取的内容,X条的是下拉XHR请求,所以……抓包看一下吧。 抓包分析 因为是XHR异步请求,所以在抓包的时候将XHR请求过滤出来。当下拉加载触发后,可以看到请求列表中只有一条请求。 图2-1 我们观察发现此请求的response正是我们想要抓取的结果。 再来看一看请求参数..
JS逆向:手把手实战某条 _signature 参数破解——WebSocket
qq_1984964136的博客
06-23 1005
websocket signature
某上市企业产品应用存在signature签名破解
曲终人散
01-07 587
某上市企业产品应用存在signature签名破解 废话都不说,直接干货走起 漏洞影响面:直接影响好几千万该企业用户账户 说明:牵扯到厂商敏感问题,关键信息打码及省略,文章主要提供挖洞思路,大佬绕过,小白可以学习下 1、进入应用的更换密码设置页面,任意设置6位密码 2、通过报文发现敏感参数,利用repeater更改此参数看是否成功,从下面信息得知有sign校验、...
Web开发之编码与解码、签名、加密与解密
Summer like
05-11 784
 在Web开发中,编码与解码、签名、加密与解密是非常常见的问题。本文不会介绍具体实例,而是介绍这些的原理、用途与区别。 一、编码与解码         在Web开发中,需要通过URL的query参数来传递数据,但是对于URL来说,有些字符是不安全的,所以需要对此进行编码。常见的编码方式有Base64,关于Base64的详细信息可以参见这里。但是Base64中有+这种对于URL不安全的字符
JS逆向:实战X瓜视频_signature参数破解
weixin_47202458的博客
05-26 3936
JS逆向:实战X瓜视频_signature参数破解 本文仅供学习交流使用,请勿用于商业用途或不正当行为 如果侵犯到贵公司的隐私或权益,请联系我立即删除 打开X瓜视频首页,F12,在XHR,我们根据通过分析响应能够找到对应的请求 定位到请求之后,我们去看一下请求需要的参数 很明显,头条系产品,加密参数都是_signature 全局搜索_signature 一下子就找到了 简单分析下代码: _signature为a的值 而 a = (0,n(679).sign)(t); 可以理解为a = n(679).
某A系电商App x-sign签名分析
WLANQY的博客
02-04 523
我们找到了最接近的jave层的接口,也找到了so中对应的函数,但是要继续分析这个so还是需要费不少功夫的。frida提示找不到类的时候不要慌,遍历大法好。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx:fenfei331讨论下。关注微信公众号:奋飞安全,最新技术干货实时推送。
下载URL包含Signature和OSSAccessKeyId的实战代码
热门推荐
herosunly的博客
10-15 8万+
 今天给大家带来的文章是:下载URL包含Signature和OSSAccessKeyId的实战代码,希望对同学们有所帮助。 文章目录 1. 前言 2. 解决方案 2.1 操作步骤 2.2 实战代码
XSign.java
11-03
手机淘宝x-sign源码,关于如何获取x-sign的代码,详情请查看博客 https://blog.csdn.net/Colinasd/article/details/102881853
某音_signature参数破解及实时弹幕抓取
qq_41721353的博客
11-26 5932
某音_signature参数破解及实时弹幕抓取
fse签名X-signature
李玺
09-16 1951
案例内容:fse搜索接口的签名X-signature
wukong问答_signature参数解密
骑猪游四方的博客
12-23 3238
wukong问答网站里的_signature参数解密详解 提示:这个参数加密用到了webpack打包的相关知识 ### 一、首先通过搜索定位法,来找到参数的关键加密位置。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20201223170911995.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpdTE
php signature解密,openssl RSA非对称加密、解密、签名、验签
weixin_36327991的博客
03-21 546
需要先了解的openssl系列函数openssl_pkey_get_private 从证书中解析获取私钥,以供使用。成功,返回真实的密钥资源标识符(Resource ID),否则返回falseopenssl_pkey_get_public 从证书中解析获取公钥,以供使用。成功,返回真实的密钥资源标识符(Resource ID),否则返回falseopenssl_private_encrypt($d...
js逆向-某某威客signature参数解密
猿榜编程的博客
03-04 1591
该函数本质上就是生成一个随机字符串并截取字符串中的第3位到第8位,既然是个随机函数,所以该值取什么无所谓。有两处,第二处是个固定值不需要看,关注点在第一处。点进去看对应的代码,并打断点,重新登录,触发该断点。上图中显示的key和iv都是字节,想要看到字符串类型的话可以采用toString函数。参数明显是被加密过的,接下来就是去寻找加密的过程。一切加密过程都知道了,把相关代码复制,完整代码如下。变量,第三个键值对中的值是个定值。是个字典,第一个键值对中的值就是。变量,第二个键值对中的值就是。
zsxq x-signature 生成
wgnms的博客
08-02 254
仅供学习用 请联系删除。
PLS-306 OGC_X错误
最新发布
04-02
<think>嗯,用户问的是PLS-306 OGC_X错误。首先,我需要确定这个错误代码的具体含义。通常,像PLS-306这样的错误代码属于Oracle PL/SQL的编译错误。根据经验,PLS-306可能涉及到调用子程序时参数不匹配的问题。比如,过程或函数的参数数量、类型或顺序与实际调用时不匹配。 接下来,我需要回忆一下Oracle的文档。PLS-306错误的官方解释应该是“调用子程序时,参数的数量或类型错误”。也就是说,当用户尝试调用一个存储过程、函数或者包中的某个子程序时,传入的参数和定义的参数不一致。这可能包括参数数量不对,或者类型不兼容,比如应该传数值却传了字符串,或者参数顺序错误等。 然后,我应该考虑用户可能的场景。用户可能在编写PL/SQL代码时,调用了一个存储过程,但传递的参数有问题。比如,定义了一个有三个参数的存储过程,但调用时只传了两个,或者参数类型不匹配,比如将VARCHAR2传给NUMBER类型的参数,或者参数顺序颠倒了。 接下来需要提供具体的例子帮助用户理解。比如,假设有一个存储过程定义如下: CREATE OR REPLACE PROCEDURE example_proc ( p_id IN NUMBER, p_name IN VARCHAR2, p_date IN DATE ) AS BEGIN -- 代码逻辑 END; 如果用户调用时写成: BEGIN example_proc(100, 'Name'); -- 缺少第三个参数 END; 这就会触发PLS-306错误,因为参数数量不足。或者,如果类型不匹配: BEGIN example_proc('Name', 100, SYSDATE); -- 第一个参数应该是NUMBER,但传了字符串 END; 同样会引发错误,因为参数类型不符合。 然后,解决步骤。首先,用户需要检查调用子程序时的参数列表,与定义时的参数列表一一比对,确认数量、类型、顺序是否一致。如果使用命名参数法(即指定参数名),可以避免顺序问题。例如: BEGIN example_proc(p_name => 'Name', p_id => 100, p_date => SYSDATE); END; 这样即使顺序不对,但参数名正确,也能避免错误。此外,检查是否有默认参数,如果子程序参数有默认值,调用时可以省略,但如果没有默认值,必须传递所有非可选参数。 另外,可能的原因还包括重载的子程序,即同名的多个子程序参数不同,但调用时未能明确匹配到某个重载版本,导致编译器无法确定正确的子程序,从而报错。此时需要确保调用时参数类型和数量能明确匹配一个重载版本。 最后,建议用户使用IDE工具(如Oracle SQL Developer)来辅助检查,这些工具通常会提示参数信息,帮助发现不匹配的情况。同时,仔细阅读错误信息,Oracle的错误信息通常会指出具体是哪个参数出现问题,帮助定位问题。</think>关于PLS-306 OGC_X错误的解释及解决方法: ### 错误定义 PLS-306是Oracle PL/SQL编译错误,属于**子程序调用参数不匹配**错误。其核心问题是:调用存储过程、函数或包中的子程序时,传入参数与定义时的参数列表在以下方面不匹配: - 参数数量不足或过多 - 参数数据类型不兼容 - 参数顺序错误(未使用命名参数法时) ### 典型场景示例 假设定义了一个存储过程: ```sql CREATE OR REPLACE PROCEDURE update_employee( p_emp_id IN NUMBER, p_new_dept IN VARCHAR2, p_effective_date IN DATE ) AS BEGIN -- 业务逻辑 END; ``` 以下调用会触发PLS-306: 1. **参数数量错误** ```sql BEGIN update_employee(101, 'IT'); -- 缺少第三个DATE类型参数 END; ``` 2. **类型不匹配** ```sql BEGIN update_employee('IT', 101, SYSDATE); -- 错误顺序导致类型不匹配 END; ``` 3. **未处理默认参数** ```sql -- 若原定义为: CREATE OR REPLACE PROCEDURE update_employee( p_emp_id IN NUMBER, p_new_dept IN VARCHAR2 DEFAULT 'HR' )... -- 但调用时: BEGIN update_employee(p_new_dept => 'IT'); -- 缺少必选参数p_emp_id END; ``` ### 解决步骤 1. **核对参数签名** ```sql -- 查询数据字典验证定义 SELECT ARGUMENT_NAME, DATA_TYPE, IN_OUT FROM ALL_ARGUMENTS WHERE OBJECT_NAME = 'UPDATE_EMPLOYEE'; ``` 2. **使用命名参数法调用** ```sql BEGIN update_employee( p_emp_id => 101, p_effective_date => SYSDATE, p_new_dept => 'IT' ); END; ``` 3. **检查数据类型隐式转换** - 避免依赖Oracle的自动类型转换 - 显式转换类型: ```sql update_employee( TO_NUMBER('1001'), -- 字符串转数字 'IT', TO_DATE('2023-01-01', 'YYYY-MM-DD') ); ``` 4. **处理重载子程序** - 当存在重载时,确保参数能明确匹配某个版本: ```sql -- 两个重载过程 CREATE OR REPLACE PACKAGE overload_pkg AS PROCEDURE process_data(p_id NUMBER); PROCEDURE process_data(p_code VARCHAR2); END; -- 正确调用 BEGIN overload_pkg.process_data(p_id => 100); -- 明确调用NUMBER版本 overload_pkg.process_data(p_code => 'A100'); -- 明确调用VARCHAR2版本 END; ``` ### 高级调试技巧 1. **使用%TYPE锚定** ```sql CREATE OR REPLACE PROCEDURE safe_call( p_input_val EMPLOYEES.EMPLOYEE_ID%TYPE -- 自动同步数据类型 )... ``` 2. **动态SQL验证** ```sql BEGIN EXECUTE IMMEDIATE 'BEGIN update_employee(:1, :2, :3); END;' USING 101, 'IT', SYSDATE; EXCEPTION WHEN OTHERS THEN DBMS_OUTPUT.PUT_LINE('错误详情: ' || SQLERRM); END; ``` ### 工具辅助 1. **SQL Developer提示功能** - 输入过程名后按`Ctrl+Shift+Space`显示参数提示 2. **PL/Scope分析** ```sql -- 启用PL/Scope ALTER SESSION SET PLSCOPE_SETTINGS = 'IDENTIFIERS:ALL'; -- 查询参数信息 SELECT NAME, SIGNATURE, TYPE FROM USER_IDENTIFIERS WHERE OBJECT_NAME = 'UPDATE_EMPLOYEE' AND TYPE IN ('FORMAL IN', 'FORMAL OUT'); ``` 通过以上方法系统排查参数匹配问题,可有效解决PLS-306错误。实际开发中建议结合数据字典查询和IDE工具进行实时验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

死磕呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值