js 定时网页点击_反爬 JS 逆向,扣代码解密分析

最新推荐文章于 2024-01-03 12:34:29 发布
最新推荐文章于 2024-01-03 12:34:29 发布
阅读量276 收藏 1
点赞数
文章标签: js 定时网页点击 js滚动条下拉一定值

挺久没发爬虫相关的教程啦,今天给大伙分享一下关于网站反爬对请求参数值的加密分析例子,主要还是看看思路。

定位加密点

在某网站中进行登录请求:

29c8b46ff2ad89b6cdd4e908da267809.png

简单抓下包,点击登录按钮之后,可以在浏览器的控制台中看到相关的请求:

b5c2595cebf5c751564775f3bfafe0e5.png

35b690fbfc25132ac2843873991401ea.png

接着往下拉,可以看到 POST 请求的参数信息:

1f9fa1c168e9d5ee247e7725e6386d44.png

从中可以看出,除了 username 中的值比较明显之外,其它的参数值看的都是一脸懵逼...

其中比较关键的几个参数是:

1、pwdencrypt2、oauth_token3、vv

那么这时候是不是应该立刻去代码中搜索上面这几个字段呢?

不不不,这会增加我们的工作量,因为这些参数值有时候是加密的结果,也有时候是页面返回的值。如果你一开始就去全局搜索字段, 分析到最后发现是取网页的某个值,那岂不是浪费许多时间?

为了避免这种事情发生,我们可以直接拿刚刚 POST 请求中已经被加密的参数值搜一下,使用快捷键 CTRL + SHIFT + F 全局搜索 JS :

搜搜 vv 字段

810565a2d74d377ff8fba8f62b94328b.png

搜搜 oauth_token 字段

133606871a84834033ac202d09433ea4.png

搜搜 pwdencrypt 字段

d86c1cbe9fdaf592c7486976cd1f6524.png

从搜索结果中可以发现, oauth_token 和 vv 为网页返回的值,而 pwdencrypt 全局搜索不到,大概率是加密的密文了,这样一下子就干掉了两个参数啦,接下来只需要分析 pwdencrypt 即可。

全局搜索一下 pwdencrypt 字段:

737f4091ba51103dc1a69ff089ba72ac.png

可以看到,这里 pwdencrypt出现在 Login.auth_v2.js 中,我们点进去看看:

c880b86c025c6ee258b3f17e5282eee5.png

可以看到:

pwdencrypt 在此使用了 RSAUtils.encryptedString 进行加密。

当然,你也可以在这里打个断点,然后重新点击登录按钮,来确定参数的加密位置:

710687b7862fb4c171089abb041ed70f.png

扣取加密代码函数

先把鼠标悬浮在函数名称那,然后会弹出一个窗口来,你点一下就可以进入相关的函数了:

63397482aff7013fc4a697a5dc3cd127.png

接着,你可能会一脸懵逼的看到一堆js代码,不知道这么扣?不要慌,只要你遇到不是套娃的写法以及一个Js文件多种方法实现的,简单粗暴的全部复制粘贴就行了,这个就网站就是如此。

首先全选我们定位到的 JS 代码,然后复制粘贴一波:

f1f71edde03f12cfaeddc1f9921d9cfe.png

接着在 node 环境中运行这段 JS:

65d5f434d30d1e378379f3188f92a608.png

咦~报错了,提示我们找不到 window 对象。

没有window 那我们就在 JS 头部定义一个 Window=this,定义完后再运行,如果这时候啥事没发生,那就证明 JS 基本扣下来能用了。

那这么调用呢?

当然是他们怎么调我们就怎么调就行啦:

75dcf76ae4f7c252eff2e390916fe5f4.png

如果提示UDB不存在咋办?

那就改为:

window.UDB.SDK.rsa.RSAUtils.encryptedString(password)

来测试一下吧:

238f64aee11c18b93403642d7960c5e1.png

运行一波:

e9cbf3297b08de54b3169c9d530f963d.png

你看,加密的结果是不是就得到了呀?

ok,以上!

ps: 本文思路由 {小帅b的朋友:lin 哥哥} 提供,小帅b希望今天的分享能给你带来一点帮助,那么我们下回见啦,peace!

3a7668e117e6b8e2413b92e7ead6049a.gif

关注我

学习 Python 没烦恼

你多点“赞”

我多点更新...

weixin_39830588
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python JS逆向篇(四)
qq_59142194的博客
05-02 1335
逆向某易云评论数据,请求时的加密参数params、encSecKey。
关于js逆向你必须知道的20个知识点
weixin_47964305的博客
05-19 7197
可以检查字符串操作函数如replace、split、slice等,分析字符串加密方式,如字符替换、base64、AES等。可以在Sources面板中设置断点,然后刷新网页或交互执行代码,程序会在断点处暂停,可以查看变量、调用栈等。可以分析变量的前缀、类型等命名规律,寻找与业务功能相关的变量,如uid、name、password等。可以通过查看函数名称、变量、事件等分析交互逻辑和程序流程,理解其主要业务功能。可以查看对象的属性和方法,判断是否存储了与业务逻辑相关的信息,如用户数据等。
JS逆向】【10.JavaScript 基础语法】BOM - 浏览器对象window,常用属性方法,窗口操作,对话框,定时器,Navigator对象,location对象,(详细讲解)
最新发布
weixin_43612602的博客
01-03 1261
浏览器对象 window 1. window 对象概述 2. window 对象的属性 window.name widnow.innerHeight,window.innerWidth window.pageXOffset,window.pageYOffset iframe screen 对象 Navigator 对象 Navigator.userAgent navigator.plugins location 对象 history对象 go() back() foreward() history.push
逆向基础】JS逆向入门:小白也可以看懂
liaozp88的博客
06-04 8030
出于对数据安全的考虑,现代化的网站/APP通常会对数据接口做加密处理。而分析这些接口的加密算法并实现模拟调用的过程就叫做「逆向」。逆向对于爬虫工程师来说是一个永远绕不开的话题,也逐渐成为各企业招聘时,JD 中的一个必备技能要求。本文就以某在线翻译网站接口加密参数分析为案例,分享一下网页爬虫的逆向原理、分析思路和分析过程。本文通过一个案例分享了爬虫逆向的原理和思路,由于案例比较简单,仅通过在网页 JS 资源文件里直接搜索关键词就能找到对应的加密算法。
js逆向
weixin_42584586的博客
12-30 3121
JavaScript 逆向是指对 JavaScript 程序进行反汇编或反编译的过程。它可以帮助你了解 JavaScript 程序的工作原理,并且可以用来修改或扩展程序的功能。 逆向 JavaScript 程序的一种常见方法是使用反汇编工具,这些工具可以将 JavaScript 代码转换成可读的形式,方便人类理解。另一种常见方法是使用反编译工具,这些工具可以将 JavaScript 代码转换成类似...
dss.rar_dss_逆向_逆向 导航_逆向分析_逆向导航
09-21
逆向分析,简单来说,就是通过分析二进制代码或可执行文件来理解其内部逻辑,通常用于软件调试、安全审计、病毒分析等领域。它需要深入理解计算机体系结构、汇编语言、编译原理以及程序的运行机制。 在进行逆向分析...
suning易购商城app api_sign参数逆向解析 最新现可用_x_req_block_加密 解密sign等参数
06-08
在提供的文件名列表中,`dfp.js`、`bd.js`、`index.js`和`MyProxy.js`可能包含了实现这些加密和解密功能的JavaScript代码。例如,`index.js`通常是项目的主入口文件,而`MyProxy.js`可能是一个中间件或代理,用于...
拼多多anti_content参数加密逆向JS 最新可用
05-11
最新可用 拼多多api解密 拼多多anti_content参数逆向分析 拼多多JS anti_content参数加密解析 node 解密下载即有用
RSA.js.rar_C#_RSA.js C#_choiceold_js rsa_加密解密
09-15
6. **密钥管理**:妥善保管私钥至关重要,尤其是在客户端JavaScript中,因为JavaScript代码容易被逆向工程。一般情况下,私钥不应暴露在客户端,而是通过安全通道从服务器获取或在服务器端进行解密操作。 7. **安全...
1号店完整代码_js代码_一号店代码_京东1号店_
09-29
【标题】"1号店完整代码_js代码_一号店代码_京东1号店"涉及到的是一个电子商务网站的前端实现,特别关注的是JavaScript(JS)在其中的应用,这是一门广泛用于网页动态效果和交互功能的编程语言。1号店是中国知名的...
mousecontrol:使用 JavaScript 在浏览器中控制鼠标
06-26
鼠标控制 使用 JavaScript 在浏览器中控制鼠标。 这是我想变成图书馆的概念证明。 概念:使用指针锁定隐藏鼠标,然后创建一个我们可以控制的假鼠标。 演示: :
简单的js逆向教程
学习python
02-26 1万+
其实做web端的爬虫,最常见到的就是js逆向方面的问题,既是重点也是难点,所以加强这方面的学习才是提升我们业务技能的重要突破点。接下来讲一下两个小实例,看一下基础的js逆向的破解(浅层篇)。 第一种加密情况: ①分析请求: 先打开目标网站---》打开控制台---》切换至XHR 然后刷新一下就会看到下面的情况 这里要解决的有两个: 返回的密文 请求中的token 接下来定位加密位...
21.网络爬虫—js逆向详讲与实战
weixin_50804299的博客
05-05 1万+
📑 📑在这个大数据时代,我们眼睛所看到的百分之九十的数据都是通过页面呈现出现的,不论是PC端、网页端还是移动端,数据渲染还是基于html/h5+javascript进行的,而大多数的数据都是通过请求后台接口动态渲染的。而想成功的请求成功互联网上的开放/公开接口,必须知道它的URL、Headers、Params、Body等数据是如何生成的。📑 📑JavaScript逆向工程是指通过分析JavaScript代码和运行行为来理解程序的内部机制。这种技术可以用于破解JavaScript程序的加密和混淆,以及
JS逆向、破解、反混淆、反浏览器指纹——JS补环境框架
YeJinYang的博客
05-23 1万+
JS补环境框架,过浏览器指纹,重写webrtc
JS逆向技巧汇总---给普通爬虫学习者的吐血建议
weixin_45387160的博客
02-01 2647
JS逆向技巧汇总
JS逆向之浏览器补环境(一)
Wxc的Blog
03-16 1万+
JS逆向之浏览器补环境(一) 简介 今天分享是是浏览器环境检测以及node js补环境 我们点击检测设备信息看发出的请求,可以看到是sign和data 这个data看起来像base64,我们试一下,发现不是 分析加密位置 可以看到经过混淆了 我们选中看一下 那我们接下来就知道了,要逆向的两个参数变量 _0x392f2d _0xd9e63f 我们直接把整个文件拷贝到webstrom里,看一下这两个变量在哪里定义的,可以看到在这 由于我们只需要这两个变量,所以下面的代码可以删除了,变成这样
js逆向实战
weixin_43145985的博客
05-04 4095
最近遇到了很多加密问题,需要做js逆向,app逆向。 就简单写一个破解成功的js逆向案例吧 就我个人而言,不太喜欢写爬虫相关的实战方法,毕竟灰色地带。 首先声明,本文仅做技术交流,请不要用于商业用途。 如有侵犯,请联系删除。 1.定位问题 直入主题,我们首先发现这题在哪 看一下这段url 我们把params拿出来 jsv: 2.5.1 appKey: 12574478 t: 1588565848...
个人总结 - JS逆向解析
热门推荐
老鹰的博客
08-13 2万+
目前加密的方式总结有下面几点: 对称加密(加密解密密钥相同):DES、DES3、AES 非对称加密(分公钥私钥):RSA 信息摘要算法/签名算法:MD5、HMAC、SHA 前端实际使用中MD5、AES、RSA,自定义加密函数使用频率是最高的 几种加密方式配合次序:采用非对称加密算法管理对称算法的密钥,然后用对称加密算法加密数据,用签名算法生成非对称加密...
反爬虫的四种常见方式-JS逆向方法论
westlife73的博客
03-10 1973
因为我们已经在陷阱里面了,所以要刷新页面JS的运行应该停止在设置的断点处,此时该函数尚未运行,我们在Console里面重新定义它,继续运行就可以跳过该陷阱。首先把Chrome浏览器保存的该网站的cookie删除,按F12到Network窗口,把“preserve log”选中(Firefox是“Persist logs”),刷新网页,这样我们就可以看到历史的Network请求记录。JS会响应链接被点击的事件,在打开链接前,先访问cl.gif,把当前的信息发送给服务器,然后再打开被点击的链接。
source map还原js混淆_Js逆向反爬策略(一)
06-09
source map是一种映射文件,可以将混淆后的代码还原成原始代码,便于调试和分析。如果想要还原混淆后的JS代码,可以使用以下步骤: 1. 找到source map文件,通常以`.map`为后缀,与混淆后的JS文件放在同一目录下。 2. 使用工具将source map与混淆后的JS文件一起还原成原始代码,例如可以使用`source-map`包中的`sourcemap`工具。 3. 如果source map文件中包含了原始代码,可以直接从中获取原始代码;如果没有包含原始代码,则需要手动将还原后的代码与原始代码进行比对,找出差异并进行修正。 需要注意的是,使用source map还原JS代码可能会面临反爬策略的挑战,因为这种技术可能被用于对抗爬虫。开发者可以使用一些防御措施来应对,例如在代码中添加噪音、增加混淆程度、或者使用动态加载等技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值