禁止查看js文件_JS破解专题 | 淘宝登录JS加密算法分析

最新推荐文章于 2024-03-29 11:53:06 发布
最新推荐文章于 2024-03-29 11:53:06 发布
阅读量437 收藏 1
点赞数
文章标签: 禁止查看js文件
“ 

阅读本文大概需要 8 分钟。

  ”

声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!

淘宝作为国内最大的网络零售商,对于用户信息安全的保护可谓固若金汤。

本文将讲解淘宝在用户登录时如何将用户的个人信息加密以达到保护用户数据安全的目的。

淘宝登录密码加密JS分析

我们在淘宝的登录页面输入自己的用户名和密码以登录的时候,会发现在NETWORK选项卡中有一个POST请求包。

f1474e8027f7bb0063147e930cf70e19.png

我们向下翻滚以查看我们发送的数据,会发现它们已经面目全非,而且多出了许多额外的参数。部分参数如下,对于用户来讲,最关心的莫过于自己的密码,那我们的密码在哪里呢?是否是赤裸裸地传输而没有任何防护呢?显然不是,我们发现存在参数password2对我们的密码进行了加密,此时我们的密码是非明文传输的,即便被别人截获了数据包,他也不会看到我们的密码。

e21cd9bcfa72d88bde4a10ad7ceeb567.png

那我们接下来就分析一下,看看淘宝对我们的密码到底进行了多大强度的加密,是否很容易被别人拿到手后破解,请随笔者分析。

按下图的顺序依次点击和输入信息,我们可以定位到淘宝网站加密信息的JS脚本。

bfbc1c53ba618184d534ccce2d7aa654.png

点击3后中间会弹出代码框,我们点击代码框左下角的“{}”符号格式化代码,让它能够以更利于我们查看的格式展示。然后搜索我们的关键词password2

c98afd5efb15044834142be3903d1864.png

我们可以发现password2的数值其实是t,而t有来源于8179行的rsaPassword,所以我们点击数字8179,让它变成黄色,这样我们就在rsaPassword下断点,等网站执行到这一行就会停下,便于我们分析。

接下来我们回到登录页面,点击登录,这样就进入了DEBUG模式,我们停在了断点位置。然后按F11,直到它进入rsaPassword这个函数,如下所示,我们发现它是典型的RSA加密,通过setPublic设置了公钥,之后进行了加密。

60fee78a2821d5e4cb8055e6a8d93636.png

那我们现在就需要找到e的值,我们可以在e处下断点,按下F11进入,会发现它实际上是D函数。而且下边还存在setPublic和encrypt两个函数,这样一来我们的加密函数就都找到了。

706605ed712dd91ff416a8bdd656d2af.png

然后我们按下F11,回到setPublic函数,查看右边的Scope,找到rsaModulus和rsaExponent复制下来。

19ab0eb1c43934407522690eedd24770.png

我们将刚才找到的有关的加密JS代码都专门复制下来,大约500行左右,存储在本地的JS文件里边查看,如下所示部分:

...... ...... rsaPassword = function(t) { var e = new D; return e.setPublic("d3bcef1f00424f3261c89323fa8cdfa12bbac400d9fe8bb627e8d27a44bd5d59dce559135d678a8143beb5b8d7056c4e1f89c4e1f152470625b7b41944a97f02da6f605a49a93ec6eb9cbaf2e7ac2b26a354ce69eb265953d2c29e395d6d8c1cdb688978551aa0f7521f290035fad381178da0bea8f9e6adce39020f513133fb", "10001"),
e.encrypt(t) } function getPwd(pwd) { return rsaPassword(pwd);}
weixin_39635459
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
淘宝密码加密方式分析,及python实现
python之战
01-31 4727
上回说到《分析淘宝登陆对selenium爬虫的封杀方案,反爬虫机制的升级》、《淘宝封杀selenium的ua算法分析》,对淘宝封杀Selenium的思路有了一个清晰认识,核心就是ua算法来鉴别是否为正常浏览器。   至于鉴别的思路可看更早的文章《selenium的封杀与突破,记录一次出师未捷身先死,淘宝、美团对爬虫的深入打击》,《Python爬虫中深不可测的ua参数,爬虫的身份证》。   ...
【2020-11-04】JS逆向之某宝模拟登入
骑毛驴的猴的博客
11-04 5912
文章目录前言一、页面分析二、参数来源三、参数破解四、扣源码吧五、运行调试六、请求源码 前言 某宝登入接口:https://login.taobao.com/ 一、页面分析 二、参数来源 loginId:输入的手机号 password2:加密的登入密码 ua:根据user-agent生成,可以直接拿来用 _csrf_token:从进入网页的源码中获取 umidToken:从进入网页的源码中获取 hsiz:从进入网页的源码中获取 三、参数破解 我们了解到参数来源后,需要解决的就是passw.
JavaScript实现网页安全登录(转)
Summer like
07-18 859
   现在很多商业网站的用户登录都是明码传输的,而一般用户又习惯于所有帐号使用相同的密码来保存,甚至很多人使用的密码和自己的银行帐号都一样哦!所 以嘛还是有一定的安全隐患的,YAHOO的免费邮箱登录使用了MD5的加密方法来确证服务提供方自己也无法知道用户的密码,有效维护了用户的隐私。其原理 如下: 用户在注册的时候通过JAVASCRIPT对密码进行一次MD5变换,然后发给服务
淘宝登陆签名js逆向代码
loserbai的博客
10-08 1015
淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token,token: 关于cookie的有效时长,cookie的有效时长为7天,但是token的有效时长目前为60分钟。客户端利用分配的token对请求的URL参数生成摘要值sign。淘宝登陆签名js逆向代码。appKey:固定数值。data: 提交的参数。
JS安全防护算法与逆向分析——JS Hook
LYY的学习和记录
05-14 1739
JS Hook 声明:本教程从安全角度出发讲解,只为增加读者的安全知识,提升读者数据安全意识,以及对于病毒和钓鱼网站的防护能力。绝无其他任何目的与用途。 一、JS Hook原理与作用 JS Hook原理非常简单,现在将一个最简单的例子,比如有这样一个函数 function test(a,b){ return a+b; } 我们可以直接在console里边修改这个函数,比如如下这样: var _test=test; test=function(a,b){ console.lo
JavaScript基础——实现自动登录的安全提醒
webs_chen的博客
11-22 1006
第一篇博客笔记——用于实现用户自动登录的安全提醒。鼠标经过复选框和“自动登录时”安全提醒会显示出来,鼠标移出,安全提醒自动隐藏。此功能用于提醒用户选择“自动登录”时会面临的风险,以此让用户决定是否选择“自动登录”的复选框。对于用户密码安全是很有必要的! 自动登录的样式设置:    简单JavaScript语法控制div1的鼠标经过显示出来,鼠标移出自动隐藏起来。 注:把自动登录
DES3.zip_DES加密js脚本文件_js des3解密
09-21
DES3.zip_DES加密js脚本文件_js des3解密是一个关于JavaScript实现的DES(Data Encryption Standard)和DES3加密解密技术的资源包。在本文中,我们将深入探讨DES和DES3加密算法,以及如何在JavaScript环境中实现它们...
AES加密算法(java实现).zip_aes java_cmM0 解密_java aes加密 demo_js aes加密算法_
09-20
`java_aes加密_demo`表示这是一个Java AES加密的示例项目,而`js_aes加密算法`表明还有JavaScript版本的AES加密实现。 这个压缩包文件可能包含了Java实现AES加密和解密的代码示例,适合初学者了解和学习AES加密的...
java-RSA.rar_Java实现RSA_java RSA_rsa java_rsa javascript_rsa加密算法
09-21
RSA加密算法是公钥密码学领域的一个里程碑,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年共同提出,因此得名RSA。它是一种非对称加密技术,广泛应用于网络安全、数据加密、数字签名等领域。在Java中实现RSA...
RSA.rar_Crypt Javascript_javascript_javascript rsa_js RSA 密钥对_rs
09-22
RSA是一种非对称加密算法,它是公钥密码学的一个重要里程碑。这个名为"RSA.rar"的压缩包包含了一些JavaScript实现...通过分析和运行这些文件,我们可以深入理解RSA算法的运作机制,并且可以应用于实际的Web安全场景中。
淘宝登录java源码-JsPatronum:JavaScript代码混淆器
06-07
淘宝登录java源码 JavaScript 代码混淆器 简介 JavaScript JavaScript 最初被设计用来作为简单的前端脚本 随着前端技术的不断发展,JavaScript 承担了越来越多的功能。它天生安全性不足的缺点得到了充分暴露 JavaScript 程序解释执行,整个源代码都暴露在用户面前的特性,决定了代码混淆几乎是现阶段保护 JavaScript 代码唯一有效的手段。 代码混淆代码混淆(Obfuscated code)是指将程序代码转换成一种功能上等价,但是难于阅读和理解的形式。 Android 的 apk 就默认使用了代码混淆,使得反编译 APK 变得比较困难。 争议 观点一前端代码公开,没有秘密,本身代码就没有保护的意义。 观点二正因为前端程序是以源码的形式展示在用户面前,才需要通过代码混淆的方式使得代码难以阅读从而增强前端代码的安全性,进一步保护自己的系统。 我的观点 前端代码天生的不安全性决定了,应该尽可能将重要的业务代码后移动。 但一方面,总可能会有一些需要在前端处理,又有一定的敏感性业务; 另一方面,前端的一些代码往往是攻击者猜测后端漏洞的入口。 因此对
tp-js.rar_TP_des_javascript des_js des
09-14
通过学习和实践这个"tp-js"项目,开发者可以深入了解DES加密算法的细节,增强对JavaScript处理二进制数据和实现复杂算法能力的理解。同时,这也是一个很好的机会去掌握如何在浏览器环境或Node.js中运行和调试加密...
JavaScript逆向技术
无奇不有 不置可否的博客
02-27 1363
一、无限Debugger 1.1 Questions 什么情况下会出现无限Debugger? 分析请求、查看时间监听器、跟踪js时候,第一步就是打开浏览器的开发者工具,而打开这个工具的时候就出出现无限Debugger的死循环。 为什么反爬虫会用到无限Debugger? 因为在反爬虫的过程中,我们会用到开发者工具,这个时候精准设防,不让我们获取代码逻辑,从而设计无限Debugger。 1.2 无限Debugger的解决方案 方案一:禁用所有的断点 将所有的断点都禁用之后,所有断点处都不执行,即可不在断点
某宝的登录密码加密--password2
xiaoxin_OK的博客
12-05 6897
提要: 这些天在搞天猫的秒杀,但是很奇怪的是:在我自己电脑上跑的时候时间是0.5到1秒的时间,居然秒杀失败,然后别人写的秒杀时间是4秒左右都可以秒杀成功!这个我很不能接受。下面说一下我的思路: 1.提前5分钟登录淘宝获取登录后的cookie,保存。 2.设置秒杀时间(一般在快到秒杀的前3秒),一旦到时间激活程序,带上cookie模拟协议,执行秒杀流程。 3.然后利用死循环一直请求购买接口。 4.在秒杀程序激活之前已经把所有要的参数什么的都准备清楚了,只要一到时间就可以进行购买了。 以上就是整体的流程和思路,
js逆向淘宝阿里云滑块破解
jinitamimei的博客
02-20 4272
js逆向
使用JavaScript抓取京东、淘宝商品数据的自动化解决方案
最新发布
sa10027的博客
03-29 780
下面介绍的这种方法是我之前主要的抓取数据的方法,大概用了一年多。通过分类查询京东、淘宝的商品,比如搜索“电子产品”,获取到电子产品的列表。将首图带有京东Logo的商品去掉,留下符合要求的商品。通过浏览器将图片下载到本地,具体的操作方法就是将第二步中获取到的img标签,放到一个网页中加载图片,另存为。通过JavaScript操作页面dom元素,获取到除了商品详情以外的完整的商品信息。通过分类查询京东、淘宝的商品,比如搜索“电子产品”,获取到电子产品的列表。手动给每个商品添加商品详情,这个是主要的工作量。
突破淘宝登录滑块验证反爬,防止识别为Chrome自动控制
热门推荐
DonLex 的博客
04-25 2万+
文章首发于慕课网手记,已同步到个人博客:https://www.donlex.cn 上次的文章《在爬100万数据的时候,我发现了爬虫的进阶之路》 ,有“怂恿”大家伙去突破淘宝登录反爬,不知道有没有试了的。反正我是试了,也找到了三种方法。在这里分享一下 账号密码登录(有滑块) 微博第三方账号登录(无滑块) 扫码登录 上面都是使用 Selenium 进行模拟登录的,这样就可以不用手动添加各种...
nodejs+puppeteer爬取淘宝电商产品信息
qq_37046591的博客
08-07 3645
nodejs+puppeteer爬取电商网站需求实现思路安装puppeteer实现代码 需求 需求:前台根据用户从aliexpress关注的产品列表,实时的从1688爬取当前用户关注产品的同款信息。 实现思路 首先,想要爬取同款商品第一步要知道怎么去找同款,去哪里找。由于我们的项目是针对Aliexpress/1688 的外贸开发人员而设计的,大多数开发人员会从aliexpress上物色产品然后转去...
nodejs采集淘宝、天猫网商品详情数据以及解决_m_h5_tk令牌及sign签名验证(2023-09-09)
byc6352的专栏
09-09 2780
nodejs采集淘宝、天猫网商品详情数据以及解决_m_h5_tk令牌及sign签名验证(2023-09-09)
加密算法js逆向安全控制实现
12-29
1. JS逆向工程:JS逆向工程是指通过分析破解JavaScript代码来获取其内部逻辑和实现细节。这可以帮助您理解加密算法的实现方式和安全控制措施。 2. 安全控制实现:在加密算法中,安全控制是指保护密钥和加密数据的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值