X书app数美-sid分析

已于 2023-10-10 13:47:55 修改
阅读量7.5k 收藏 95
点赞数 64
分类专栏: 小XBook 逆向乾坤 文章标签: 大数据
于 2022-07-21 13:20:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38927522/article/details/125765735
版权
逆向乾坤 同时被 2 个专栏收录
66 篇文章 202 订阅 ¥119.90 ¥299.90
订阅专栏
小XBook
29 篇文章 2004 订阅
订阅专栏
本文探讨了X书app中用户登录后的SID标识,指出SID在headers中的名称为x-legacy-sid。每次登录后SID会改变,通过反编译与Frida脚本hook技术,分析了SID的生成流程,确保了无需通过SSLping抓包获取用户信息,实现了稳定通过Xposed框架hook SID的功能。
摘要由CSDN通过智能技术生成

前面文章提到,登陆后获取用户cookie,sid值就是用户登陆标识。

sid 也就是headers中的 x-legacy-sid

https://codeooo.blog.csdn.net/article/details/125182835

我们发现每次登陆之后sid值会发生改变,重新修改了sid值,然而在代码中也得到相应的认证了。

接下来我们分析sid登陆生成流程:

了解本专栏 订阅专栏 解锁全文
Codeooo
关注
专栏目录
订阅专栏
设备注册生成device_fingerprint|deviceId
Codeooo 博客
11-02 7702
deviceId="700ef5fc-8461-3b0b-9fb6-4c358afa9ef2" device_fingerprint="20220412122752f97725e6434e057c08af155625d27a27015f5c6250d3cb90" 设备生成接口: def getDevice(): res = requests.get("http://42.192.249.77:10086/device/codeooo")
xiaohongshu 数美device设备id fingerprint V3
China Honker 博客
11-06 4067
通过数美v3设备注册,再走小红接口shield算法进行激活设备。数美设备v3,20231106格式的。
风控算法设备id指纹分析
weixin_43667643的博客
07-18 2742
今天刚好有点时间就先简单写一下,前段时间分析了一下某国内风控厂生成设备id时采集的信息,也是第一次接触风控这方面的东西,抱着学习的心态分析了一下。 某风控厂:我贼tm牛逼,你手机刷机了我都能识别出旧id,一年就要百来万,便宜 首先这个sdk包含java和native so两个模块,app启动的时候将采集信息上报,服务器返回个设备id,没有合法的id有些app直接拒绝注册。。。Java层的sdk采集的信息最多,差不多有百来条,然后传递给so层,so层再采集一波,然后rsa非对称加密,返回给java。我先把
DeviceId:一个简单的库,提供生成“设备ID”的功能,可用于唯一标识计算机
04-30
设备编号 一个简单的库,提供生成“设备ID”的功能,可用于唯一标识计算机。 快速开始 建立设备标识符 使用DeviceIdBuilder类构建设备ID。 string deviceId = new DeviceIdBuilder () . AddMachineName () . AddProcessorId () . AddMotherboardSerialNumber () . AddSystemDriveSerialNumber () . ToString (); 您可以在设备标识符中包含什么 提供以下扩展方法以适合某些常见用例: AddUserName()将当前用户的用户名添加到设备ID。 AddMachineName()将计算机名称添加到设备ID。 AddOSVersion()将当前的操作系统版本(由Environment.OSVer
数学之美-唯一ID生成算法
qq_36557960的博客
01-02 1587
一切的合理性都可以通过数学来解释(自己瞎编的),今天就用数学给大家变个戏法,实现一个唯一ID生成器;而用到的数据知识包括排列组合+质数特性应用: 先给出一个数学定义:在一个质数集合中随意取出2n个质数,让他们两两相乘然后加和得m,放入后重新再取出2n个质数,经过相同步骤计算得出z,除非前后取出的质数相同且两两相乘的组合也相同,否则m != z(我拿着笔经过一阵噼里啪啦,验证得来的)。 ...
sql server 查看 用户 sid_APP用户行为数据分析(SQL+Excel)
weixin_39959369的博客
12-17 744
分析背景本文使用SQL+Excel对某个APP的用户属性和行为数据进行分析,通过用户行为分析业务问题,以此来优化广告投放渠道和制定更加有效的营销策略。提出问题本文将通过对APP用户行为进行数据分析,解决下面的业务问题:用户的启动、安装以及卸载数据发生了怎样的变化?不同属性的用户启动情况是怎样的?不同功能的启动情况是怎样的?涉及的分析指标如下:数据介绍数据中包含3个数据表:user_id_info、...
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1285
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
密码安全攻防技术精讲
GitChat
07-03 3101
课程介绍 本课程内容将以作者亲身经历的事情为主,从技术的视野和攻防角度来剖析各种密码及其他技术对工作和个人生活的影响,将“高高在上”的技术拉进我们日常的生活中来。每一篇文章都是精挑细选的典型案例,背后都有真实故事和场景,以技术的方式来再现和还原。 非技术专业读者可以通过这些文章来了解和预防各种涉及密码的攻击,从事技术工作的读者可以按照文章的搭建环境进行实战实践。由于篇幅有限,密码攻防涉及的技术非常...
6.89版本shield-unidbg调用方式
Codeooo 博客
06-27 2187
X69版本shield生成过程传输门: https://blog.csdn.net/weixin_38927522/article/details/125460805本博客更新68版本代码: version: 6.89.0.1 我们运行下看生成结果: 其实小红就是用的okhttp3发包请求,而且shield只是参数解密, 最重要的风控,数美无限滑块,登陆后的sid等才是关键。..............................
盘点近年来的各国各行较知名的互联网安全事件
热门推荐
chengzengchi4787的博客
06-14 2万+
Manual 盘点近年来的各国各行较知名的数据泄露、供应链污染事件 数据泄露 2019 6月 中国猎头公司 FMC Consulting 配置错误的ElasticSearch集群造成数据泄露(据文章称涉事公司收到报告毫无反应,直到CNCERT出面才下线数据) 泄露内容:数百万份简历和公司记...
我的ID生成算法
weixin_33965305的博客
11-16 107
看到好多朋友都在讨论ID的生成算法. 我这里简单介绍一下我的处理方式。 ID =系统帐号+年+月+日+小时+分+秒+毫秒+4位随机数。 我这样生成的id大约30位长。 一般不会重复。 转载于:https://www.cnblogs.com/zdq2601/archive/2007/11/16/961143.html...
js版设备id生成算法分析
闲聊的互联网
09-27 2254
前言 1、互联网业务经常会有送券、领红包等活动,通常礼品发放是基于单个用户ID只发放一次原则,同时还会结合是否新用户、是否非常客(熟客不给优惠)等策略。 羊毛党薅羊毛场景:1、编写领礼品(券和红包统称礼品)脚本;2、导入批量用户cookie或手机号,导入批量网络代理(绕基于IP的风控);3、脚本开启,不出意外可以掌握大量的券和红包,接着转卖或代购 互联网厂商对抗羊毛党:1、要求输入图形验证码...
2021-03-04
weixin_43730915的博客
03-04 787
数美id 哪位大佬可以做数美id (deviceid )或者知道那个平台可以对接的 私信分享一下 万分感谢
浅谈业务防刷
zhangmiaoping23的专栏
04-29 656
背景 直播间的观众人数越多,主播房间的热度就越高;越多人关注的主播,就可能被更多的人关注;有账号就能领鱼丸;视频/文章被观看数量越多,就可能被越多的人观看;新用户送优惠等等,这些场景都需要防止(灰产)刷量 增加同一IP次数限制,增加图形验证码,增加短信验证码,增加设备指纹判断等,这些是常用且通用的手段 然而限制IP的对大区域网络公用IP不太友好,容易误伤,灰产业能轻易绕过;图形验证码不但可以...
2022最新手机设备标识码(IMEI、MEID、UDID、UUID、ANDROID_ID、GAID、IDFA等)教程
不写代码没饭吃的博客
08-19 1万+
将获取的UUID永久存储在设备的KeyChain中,这个方法在应用第一次启动时,将获取的UUID存储进KeyChain中,每次取的时候,检查本地钥匙串中有没有,如果没有则需要将获取的UUID存储进去。(International Mobile Equipment Identity) 是国际移动设备身份码的缩写,国际移动装备辨识码,只有Android手机才获取的到,是由15位数字组成的"电子串号",比如像这样 359881030314356,它与每台移动电话机一一对应,而且该码是全世界唯一的。
深度解析数美验证码全家桶:逆向工程、动态参数捕获与算法分析
最新发布
ttocr456的博客
03-22 413
验证码技术在网络安全中扮演着至关重要的角色,而数美验证码全家桶作为一种先进的验证码解决方案,其背后的加密算法和动态参数生成机制备受关注。本文旨在通过深度逆向分析和动态参数捕获,揭示数美验证码全家桶的工作原理,并深入探讨其加密算法和参数生成逻辑。数美验证码全家桶是一套全面的验证码解决方案,包括多种类型的验证码,如滑块验证码、文字点选、图标点选、语序点选、空间推理、无感验证等。将捕获的动态参数应用于验证码验证过程中,验证其有效性,并尝试破解数美验证码,以验证研究成果。
数美滑块 js逆向
活捉一只小菜鸟的博客
04-20 1548
注:本篇博客仅供学习使用,请勿用做其他商业用途,如有侵权,请联系本菜鸟 最近看到有很多大佬都有逆向数美的滑块验证码,本着学徒的心,本菜鸟也跟着他们的脚步把数美滑块的逻辑走一遍,好了直接上干货 1.流程 1.1请求register这个图片信息的接口,返回bg,fg两个图片以及一个rid参数,其中rid参数在后面验证滑块的时候有用到 1.2验证请求fverify,除开下图标注的参数,其他的均可固定,其中 rid:前面请求图片返回的 se:滑动时间加密的 tf:滑动轨迹加密 qn:缺口位置加密 2.逻辑详情分
"XAPP592-SMPTE-SDI: Xilinx官方文档与演示总结
The xapp592-SMPTE-SDI document, along with the Xilinx official xapp592 document, provides comprehensive information on implementing SMPTE SDI standards on Xilinx devices. Released on July 14, 2014, ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Codeooo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值