【拉勾招聘】职位信息 |逆向分析 | 响应数据加密 | AES | RSA | 请求加密 | sessionStorage

已于 2024-09-29 12:08:58 修改
阅读量204 收藏
点赞数 5
文章标签: 爬虫 python javascript
于 2024-09-28 22:59:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44990881/article/details/142623353
版权

搜索销售,可以看到数据接口
在这里插入图片描述

在这里插入图片描述
这里三个地方全部都是密文

headers[“X-S-HEADER”]

直接搜索x-k-header
打上断点,点击分页
在这里插入图片描述

进去
在这里插入图片描述
然后点击下一步到这里
在这里插入图片描述

在这里插入图片描述
e是固定的,一个是请求的url,一个是请求的参数
然后将t进行SHA256加密再转大写,最后返回结果
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

看看It是什么,点击进去

在这里插入图片描述

在这里插入图片描述
为AES加密,看看aesKey是怎么来的,是从sessionStorage里面取的
在这里插入图片描述
在这里插入图片描述


const CryptoJS = require('crypto-js')

var kt = ""
, Pt = CryptoJS.enc.Utf8.parse("c558Gq0YQK2QUlMc")
, It = function (t) {
    kt = CryptoJS.enc.Utf8.parse("5h4OmlZlSWqtWTHXk3dDxZQi7bVzaOI5"), // sessionStorage 里面的 "aesKey"
        t = CryptoJS.enc.Utf8.parse(t);
    t = CryptoJS.AES.encrypt(t, kt, {
        iv: Pt,
        mode: CryptoJS.mode.CBC,
        padding: CryptoJS.pad.Pkcs7
    });
    return t.toString()
};

var headers = {};
url = "https://www.lagou.com/jobs/v2/positionAjax.json"
params = '{"first":"true","needAddtionalResult":"false","city":"全国","pn":"1","kd":"销售"}'


e = {deviceType: 1};
t = "".concat(JSON.stringify(e)).concat(url).concat(params);
t = CryptoJS.SHA256(t).toString().toUpperCase();
headers["X-S-HEADER"] = It(JSON.stringify({
    originHeader: JSON.stringify(e),
    code: t
}))


console.log(headers);

在这里插入图片描述

headers[“X-K-HEADER”]

在这里插入图片描述
在这里插入图片描述
是从sessionStorage里面取的"secretKeyValue"

请求参数data

在这里插入图片描述
e.body就是请求参数现在是明文
搜索e.body = 看看怎么加密的
在这里插入图片描述
w就在上面定义了,可以看到就是AES加密了参数
在这里插入图片描述

w = It(params)
headers.body = "data=".concat(encodeURIComponent(decodeURIComponent(w)));
console.log(headers);

在这里插入图片描述

响应数据解密

直接搜索AES.decrypt(
有两个地方,都打上断点,看在哪个位置
在这里插入图片描述

sessionStorage里面的参数怎么来的

前面是从sessionStorage里面取的参数,仔细看sessionStorage是有过期时间的,所以都是变的
在这里插入图片描述
在这里插入图片描述
有取值就会有赋值
Wt方法就是赋值,搜索Wt会发现是这个接口返回的
在这里插入图片描述
我们去找这个接口,怎么找?清除浏览器里面的sessionStorage,再刷新,就会重新生成
在这里插入图片描述
删掉再刷新是不是就有了
在这里插入图片描述
在这里插入图片描述
直接搜索secretKeyDecode打上断点,再删除sessionStorage,再刷新,就会再生成,也就断下来了
此时的sessionStorage是空的所以这也是空的
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
那就是Rt()生成的
在这里插入图片描述
在这里插入图片描述
到此就结束了

不会飞的鲨鱼
关注
某勾网之登录过程逆向
shanf7921的博客
09-07 3万+
拉勾网的登录过程逆向,包含请求头(X-S-HEADER、X-K-HEADER、X-SS-REQ-HEADER等) 以及 请求参数/返回数据的加解密。
Java知识点概览
qq_48403611的博客
08-03 3394
java后端开发常见面试题总结
美团滑块(1-18,js逆向)
weixin_44772112的博客
01-18 5732
某团滑块分析
安居客登录参数分析-安居客登录参数分析
03-12 344
这次逆向有两点新的东西浏览器的本地存储,还可以操作浏览器的数据库,对于调试工具中的Application板块有了解fiddler中间拦截,并替换文件Github。
前端密钥怎么存储,才最安全?
热门推荐
yuanchengfu0910的博客
05-29 1万+
对于部署到服务器的应用,您可以使用服务器的环境变量配置功能,如 Linux 系统的 export 命令或 Windows 系统的系统属性配置。如果您使用的是一些现代的前端框架或库,它们可能提供了更便捷的配置文件加载和解析的方法,例如使用 axios、fetch 或特定的配置加载插件。在前端应用中使用环境变量:在您的前端应用代码中,通过访问环境变量来获取密钥的值。解密密钥:在需要使用密钥的时候,通过解密算法对加密的密钥进行解密,获取原始的密钥值。配置密钥:在配置文件中添加密钥的配置项,并为其指定相应的值。
前端常见业务
xyz_road的博客
03-21 750
第一步:监听鼠标移动、鼠标点击、键盘按下这几个事件,获取当前的时间,与上一次操作的时间进行比较,判断过去有没有29分钟,如果没有就更新缓存的时间为当期时间、清除监听的事件、定时器,(这个步骤可以做一下节流),如果有超过29分钟(不能等到30分钟,因为等到30分钟的话已经失效了),就触发更新token的步骤,发送登录获取token的接口请求,这时只是加上了参数refresh_token,更新时账户和密码值由后端给。该方法根据滚动的距离计算出可见的列表项的起始索引,并更新 startIndex 的值。
网络-存档
学习笔记。
08-04 1223
Quic 使用可插拔的拥塞控制,相较于 TCP,它能提供更丰富的拥塞控制信息。比如对于每一个包,不管是原始包还是重传包,都带有一个新的序列号(seq),这使得 Quic 能够区分 ACK 是重传包还是原始包,从而避免了 TCP 重传模糊的问题。Quic 同时还带有收到数据包与发出 ACK 之间的时延信息。这些信息能够帮助更精确的计算 rtt。QUIC 的传输控制不再依赖内核的拥塞控制算法,而是实现在应用层上,这意味着我们根据不同的业务场景,实现和配置不同的拥塞控制算法以及参数。无队头阻塞。...
面试知识点——(金三银四你需要的是她)
默存
02-28 4862
目录 《Java》 《框架类》 一、spring 二、Spring MVC 三、springboot 四、SpringCloud 五、Dubbo 六、MyBatis 七、Hibernate 八、Storm 九、Flume 十、Zookeeper 《数据库类》 一、MySQL 二、Oracle 三、Redis 《前端》 一、VUE 《Java》 1、JVM ...
AES|RSA加密
05-24
例如,使用AES对大量数据进行快速加密,然后用RSA加密AES的密钥,这样即使有人获取了加密后的数据,没有正确的RSA私钥也无法解密AES密钥,从而保护了数据的安全。 源码分析可以帮助我们更好地理解加密算法的实现...
PYG 密码学综合工具、支持RSA|DES|AES|SHA|Base64等40种加密算法
12-13
PYG 密码学综合工具、支持RSA、DES、AES、SHA、Base64、CAC32、MD5、TEA、FILEHASH、GOST、RC、等40种加密算法
Springboot项目报文加密(采用AESRSA动态加密策略)
03-28
Springboot项目报文加密(采用AESRSA动态加密策略) Springboot项目报文加密(采用AESRSA动态加密策略) Springboot项目报文加密(采用AESRSA动态加密策略) Springboot项目报文加密(采用AESRSA动态加密...
完美使用RSA2结合AES数据进行加密(兼容RSA2,可使用2048长度的秘钥,AES Android各版本通用)
03-19
完美使用RSA2结合AES数据进行加密,兼容RSA2,可以使用长度为2048的秘钥,且AES加解密不受Android版本限制,详情请看博客:https://yuzhiqiang.blog.csdn.net/article/details/88657793
爬取元气手机壁纸简单案例(仅用于教学,禁止任何非法获利)
2301_79810514的博客
09-27 883
BeautifulSoup 是一个用于解析 HTML 和 XML 的 Python 库,提供了方便的工具来提取和处理网页数据。以下是对 BeautifulSoup 的一些关键点的介绍:安装安装 requests。
Python爬虫爬取王者荣耀英雄信息并保存到图数据
WwLK123的博客
09-27 1278
利用Python爬虫爬取王者荣耀全部英雄信息,并保存到图数据库。
Scrapy入门
最新发布
卡布达的博客
09-28 235
Scrapy是一个用Python实现的快速、高层次的屏幕抓取和web抓取框架,主要用于抓取web站点并从页面中提取结构化的数据。的文件夹,其中包含Scrapy项目的所有必要文件和文件夹。命令创建一个新的Scrapy项目。:处理由爬虫提取出来的数据,如清洗、验证和存储。:项目的Python模块,将会从这里引用代码。:处理爬虫输入的响应和输出的结果及新的请求。:解析响应并生成提取结果和新的请求。:处理引擎与下载器之间的请求响应。:定义爬取结果的数据结构。:项目的全局配置文件。:存储爬虫代码的目录。
Python使用scrapy创建项目爬虫步骤
Wgq0731的博客
09-28 288
在items.py文件中定义你要爬取的数据结构。title = scrapy.Field() # 职位名称salary = scrapy.Field() # 薪资company = scrapy.Field() # 公司名称# ... 其他字段。
加载数据模型:在数据采集中实现动态数据处理
ip16yun的博客
09-24 732
在现代网络爬虫技术中,数据的动态处理成为了提升采集效率和准确性的重要手段。随着目标网站数据的多样性和复杂性增加,静态数据采集方法逐渐无法满足需求。本文以拼多多为例,探讨如何通过加载数据模型实现动态数据处理,并结合代理IP、Cookie、User-Agent设置及多线程技术提升数据采集的效率。
爬虫逆向学习(九):记录一个集cookie、请求参数、请求体、响应文本加密的站点反爬
九月镇领将的博客
09-25 316
一个集cookie、请求参数、请求体、响应文本加密的站点反爬
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值