js破解1688sign数字签名算法思路及操作

最新推荐文章于 2024-03-12 10:56:58 发布
最新推荐文章于 2024-03-12 10:56:58 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: js逆向 node.js 文章标签: javascript 开发语言 ecmascript python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62129885/article/details/127673645
版权

思路:

首先,分享的是抓取思路:

1.一般爬虫通过观察页面分析页面是动态页面还是静态页面,当页面没有加载时则是动态页面

2.动态页面有js数据加密,ajax数据请求

3.区分请求方式:get/post请求方式

4.检索headers data params 中的数据是否存在加密内容

5.合理构建headers

6.请求发送

步骤

一、

通过js调试,在过滤器输入页面关键字进行接口查找,如果没有找到接口,就刷新一下页面,有可能是还没有加载出来

 

二、

找到接口后,点击接口找到颜色较深的


观察接口的请求方式为GET请求,get:params  post:data

观察GET请求方式headers,params 数据存在加密内容

三、

进入启动器引导,

 四、

搜索加密的关键词sign,找到搜索加密的位置

 然后就对js代码进行断点调试,查漏补缺。

我好懒,懒得截图了,分享思路!!!

调试

1.通过打断点,对找到的sign关键字断点调试,将sign拼凑出来

j = h(d.token + "&" + i + "&" + g + "&" + c.data)

 

拿到的sign的值,将sign作为参数请求中

 2.通过python中的一个库execjs可以将js代码写入python

使用方法:

import execjs


with open('D:\python_project\mytest\sign加密.js', 'r', encoding='utf-8') as f:
    #读取到调试到的js代码
    jscode = f.read()

#将signKey参数传入js代码的h方法中
ctx = execjs.compile(jscode).call('h', signKey)

3.然后用python的request爬取1688数据

重在分享思路,源码我就不发了,如果显示令牌过期,则刷新浏览器页面,更换cookie值重新传入即可啦!

 

 

测试小可
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
1688 sign参数加密分析
08-17
ZIP包内含sign加密算法JS代码、Python请求调用sign加密算法代码实例! sign参数的组成:token & 时间戳 & g & 请求参数 加密算法与Python调用代码均有详细注释
python爬虫进阶-1688工厂信息(JS逆向-sign签名验证)
jia666666的博客
10-19 5159
目的 获取1688工厂名片的相关信息 详细需求 一、进入1688网站 https://www.1688.com/ 二、使用“工厂”这个搜索框 三、输入工厂名称进行搜索,如“深圳市杰之美时装有限公司” 四、返回搜索结果,并获取逐个店铺/工厂的连接 五、获取有关数据 思路解析 一、搜索关键词,获取返回网页中的工厂ID 二、链接拼接-进入工厂名片详情页 三、目标信息定位 四、模拟构建请求 这里的难点就是sign值的获取 五、思路汇总 1.请求工厂关键词-解析得到工厂ID 2.需要进
1688阿里巴巴平台 API接口 接入文档说明
最新发布
API_18870278351的博客
03-12 449
阅读文档:阿里巴巴平台提供了详细的API接口文档,包括接口的使用方法、参数说明、返回结果等。详细的接口说明和使用方法请参考阿里巴巴开放平台官方网站的API接口文档。阿里巴巴平台提供了一系列的API接口,用于接入和使用阿里巴巴平台的各种功能和服务。注册账号:在使用API接口之前,需要先注册一个阿里巴巴平台账号。请求API接口:可以通过发送HTTP请求调用API接口。可以通过使用API密钥和签名算法生成签名。授权认证:在使用API接口之前,需要进行授权认证。获取API密钥:在注册账号后,需要获取API密钥。
1688 找工厂 sign 分析
weixin_43884354的博客
08-24 122
这里发现 j 就是加密的字段了 d.token 是cookie的一个字段 i是时间戳 g是固定的 c.data 是传入的data值 那么找到h函数就可以解密出sign值了。定位到 请求的返回是个 script 并不是 xhr 那么就不能用 xhr断点调试了 那就可以从启动器下断点去找加密字段。根据堆栈 去找 加密的字段 搜索发现这个是给sign 赋值的 很有可能是找的加密字段 打上断点 再重新运行一下。思路大概就是这样了 很简单就分析出了。d.token 的值。
weixin-signature:提供微信JSAPI签名
07-02
微信签名 微信JSAPI签名生成算法 提供微信JSAPI签名 例子: var sign = require ( "weixin-signature" ) . sign ; var config = { noncestr : "Wm3WZYTPz0wzccnW" , jsapi_ticket : "sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg" , timestamp : 1414587457 , url : "http://mp.weixin.qq.com" } ; sign ( config ) ; // should output {signature: "f4d90daf4b3bca3078ab1
node.js之基础加密算法模块crypto详解
01-21
crypto作为nodeJS已经稳定下来的模块在整个node中具有举足轻重的地位,一切app都需要加密解密,那么crypto就是一个提供加密功能的模块。在这个模块中已经打包了OpenSSL hash, HMAC(哈希信息验证码),cipher(加密),decipher(解密),sign签名)以及verify(验证)的功能。 加密算法crypto 我很难想象在php里面md5加密只是三个字符的一个方法而已,在node.js中没封装前竟然那么长!! 无法反编译的加密方式 话不多说直接上代码品鉴吧 onst crypto = require('crypto'); function l(par
关于1688API接口参数sign的分析(2024最新记录)
Python爬虫各种技术解决方案记录
12-09 237
请求过1688接口的各位都知道,其中有一个关键的加密参数sign,而且这个加密方式隔一段时间会更新一次,所以我们想要成功请求接口,也得经常更新请求,在这里,我把整个分析步骤列出供大家参考,如需帮助,可以V我:JackLi_1900。上面只有3个参数是每次变动的,t,sign,memberId,其他参数都是固定,t很明显是时间戳,memberId是商家唯一标识,这个很好获取,我们只需要重点解决sign即可。其实整个步骤不难,关键是要找出官方最新的js代码块来生成sign,如需帮助,可以找我。
【2023-02-02】某1688网站sign参数分析
不愿意透露姓名的网友
02-17 611
旧网站噶了,把这个网站换成个简单的js加密,我们分析一下。
js逆向 - 某货源平台商品详情 sign签名分析
weixin_42840266的博客
06-01 624
某货源平台商品详情签名分析,抓包分析:我使用的是Fiddler,简单看下来主要是url中存在sign签名每次请求都会变化,感觉像是MD5
social-sign:彭纳普斯 2013
07-03
社会标志 Social Sign 是在 PennApps Spring 2013 hackathon 上构建的,是学习手语的友好工具! 通过使用 Leap Motion,BadApples 团队实施了一种基本的机器学习算法,以从用户的手势中跟踪和识别美国手语。 Social Sign 将这些手势可视化,并将它们以文本和视觉表示形式广播给签名室中的其他签名者。 在标准的聊天室方式中,界面允许书面交流,但考虑到增强学习的好处。 这一切都是为了学习一种新的交流方式。 SocialSign 向您传递信息。 使用 Node、MongoDB、Socket.io、Three.js、WebGL 构建。 作者 迈克尔里维拉 - 尼古拉斯麦吉尔 - 娜塔莉·格雷维尔 -
微信分享invalid signature签名错误踩过的坑
11-20
前一段时间做了一个微信分享的东西,而且前端框架用的是VUE,被这个东西快折磨疯了,一个列表页,一个详情页,分享详情页的时候,会报错invalid signature签名错误。 当时就不淡定了,然后开始了排坑之路,根据官网的各种校验错误问题,没有发现有什么区别 建议按如下顺序检查: 1.确认签名算法正确,可用http://mp.weixin.qq.com/debug/cgi-bin/sandbox?t=jsapisign 页面工具进行校验。 2.确认config中nonceStr(js中驼峰标准大写S), timestamp与用以签名中的对应noncestr, timestamp一致。 3.确认
微信公众号前端签名算法sign.js
04-26
需要微信公众号签名算法的可以在这里下载下来,sign.js,使用方法已经在我博客里面提及到,敬请下载
深度学习攻防对抗(JCAI-19 阿里巴巴人工智能对抗算法竞赛)
a842040170的博客
05-04 1690
最近在参加IJCAI-19阿里巴巴人工智能对抗算法竞赛(点击了解),初赛刚刚结束,防御第23名,目标攻击和无目标攻击出了点小问题,成绩不太好都是50多名,由于找不到队友,只好一个人跟一群大佬PK,双拳难敌四手,差点自闭放弃比赛了。由于知道对抗攻击的人很少,于是抽空写篇博客,简单科普一下人工智能与信息安全的交叉前沿研究领域:深度学习攻防对抗。 然后简单介绍一下IJCAI-19 阿里巴巴人...
淘宝sign加密算法
python学习者的博客
03-20 2102
淘宝sign加密算法 淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端利用分配的token对请求的URL参数生成摘要值sign, MTOP利用这个摘用值和cookie中的token来防止UR...
Python爬虫系列之JS逆向破解某某日报接口签名算法
Packager
06-23 1115
Python爬虫系列之JS逆向破解某某日报接口签名算法 小程序爬虫接单、app爬虫接单、网页爬虫接单、接口定制、网站开发、小程序开发 > 点击这里联系我们 < 微信请扫描下方二维码 代码仅供学习交流,请勿用于非法用途 一、思路 js逆向,主要看关键词和debug的使用,首先,先确定加密参数key,确定之后,使用浏览器自带的f12debug全局搜索一下关键词,找到关键词之后,打上相关关键词的断点,然后启动断点调试,单步执行,观察参数的拼装,以及对拼装串的加密处理,本次demo解密的是某某日报
记一次逆向破解微信小程序参数签名
Askshhbs的博客
04-21 9056
前言 在一个平淡无奇的午后,接到一个新的活——对某微信小程序进行渗透测试。老规矩,倒了杯茶,准备开始新一天轰轰烈烈的干活(摸鱼)。 然鹅,BurpSuite 上号不到 2 min 我就发现今天的砖头有点烫手了(晚饭可能都不香了)……事情是这样的: 没错,这货不讲武德,直接加了个时间戳参数timestamp、签名参数signature用来防止数据包重放……那这还玩个锤子! 这我还能说啥,合上电脑准备睡觉!但下一秒还是理智占据了上峰……算了,不能跟 RMB 过不去,还是老实搬砖干活为妙! 小程序逆
js签名算法问题
fenggq
03-15 1202
今天碰到了js算法中关于"()"的签名java经encodeURIComponent后不同。js没有解码,java解码后是%28、%29.所以造成签名不通过。最后直接替换 encodeUri.replace(/\(/g,"%28").replace(/\)/g,"%29");...
js逆向技术 sign
05-26
JS逆向技术是指通过分析JavaScript...在逆向过程中,如果我们能够分析出sign算法的具体实现方式,就可以轻松地破解数据或者实现自己的签名算法。 需要注意的是,JS逆向技术存在法律风险,建议仅用于学习和研究目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值