js逆向 - 某电商网站x-api-eid-token参数生成

已于 2023-07-27 23:46:36 修改
阅读量2.4k 收藏 7
点赞数 2
分类专栏: 爬虫 文章标签: javascript 爬虫 网络爬虫 python
于 2023-07-21 13:58:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42840266/article/details/131849271
版权

本文仅供学习交流,只提供关键思路不会给出完整代码,严禁用于非法用途,若有侵权请联系我删除!

目标网站:aHR0cHM6Ly93d3cuamQuY29tLw==

目标接口:aHR0cHM6Ly9naWEuamQuY29tL2pzVGsuZG8=

接上一篇 JD - h5st解析_小馒头yy的博客-CSDN博客 请求url中的x-api-eid-token参数,经过我调试分析,这个值是由 jsTk.do 接口返回的,我们今天来生成下该 token

一、抓包分析

1、打开开发者工具,清除浏览器缓存

2、发现该接口请求 url中存在加密参数 a, 请求体中存在加密参数 b

二、XHR断点调试

1、打下XHR断点。清除缓存后刷新网页,成功断下。 

2、跟栈调试,定位到关键位置,请求url中的加密参数是 d, 请求体中的加密参数是n

3、生成请求url中的加密参数

关键代码: var d = jdtRiskEncryptUtil.TDEncrypt(g), 

跟进 TDEncrypt方法,依次补全collectConfig,getEncryptedCollectInfo后直接运行得到加密值

4、生成请求体中的加密参数 

往上找找 n的赋值,定位到关键代码:var n = (new TDEnvCollector(collectConfig.getEnvExcludeOptions(_riskFpMode))).getEncryptedCollectInfo();

跟进去,将整个文件代码复制出来,在代码中补全所有的环境,执行以下代码得到解。

var n = (new TDEnvCollector(collectConfig.getEnvExcludeOptions(_riskFpMode))).getEncryptedCollectInfo();
console.log("n:" + n)

5、浏览器中运行得到该加密值

我们在代码中补环境是繁琐的,整个我足足搞了两个小时(还是太菜),今天来整一种简单的写法:在浏览器中加载抠出来的 js文件,再通过RPC获取值

编写html:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

   <script type="text/javascript" src="jstk_b.js"></script>

</body>
</html>

在浏览器中打开,再执行上面的关键代码,可通过RPC技术获取到该加密值

用生成的加密值成功发送请求。 收工! 

小馒头yy
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
京东x-api-eid-token生成源代码 易语言
10-13
这个是京东x-api-eid-token生成源代码 易语言源代码哦,有需要的可以免费下载啊
开发API接口的安全验证:token,参数签名,时间戳
热门推荐
何哥的博客
03-18 1万+
前言:服务端与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露和篡改数据,下面主要围绕token,签名,时间戳,三个部分来保证API接口的安全性。 参考链接,致敬前辈: 开放API接口签名验证,让你的接口从此不再裸奔 API接口的安全设计验证:ticket,签名,时间戳 1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参
京东 h5st 4.1 4.2 4.3 4.4逆向算法分析、API接口、品详情、价格API接口(2024-02-26)
byc6352的专栏
02-26 1833
京东 h5st 4.1 4.2 4.3 4.4逆向算法分析、API接口、品详情、价格API接口(2024-02-26)
本篇分享京东网页版 x-api-eid-token生成方式以及逆向的经验
kevinsir2003的博客
07-05 1758
调用方法的时候,发现返回的参数长度和实际的长度不一致。这就需要调试,最简单的方式就是浏览器中断点和ide中同时断点,仔细检查参数即可。再次点击启动器,进入vm文件中,到这里需要全部复制下来,刷新页面再次请求数据的时候,会得到我们需要的参数。6.执行的时候,发现报错,这里就是补环境,用jsdom进行补充环境,再次执行就OK了。就是这个jstk.do 的接口,其中a参数和d参数都是需要处理的加密参数。点击进入js文件,发现是个eval方法,生成了一段代码在内存中执行。调用接口,成功获取到了结果。
狗东x-api-token和log
weixin_45992775的博客
07-12 293
观察发现有的地方不仅有x-api-token,还有log
某东jsTk/x-api-eid-token纯算
weixin_56411502的博客
11-25 511
本文章中所有内容仅供学习交流,不可用于任何业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!耗时:60ms--加密结果:7TJI7TceW0Pu7Tce7TZ37Tce7Tce7TJ</联系方式:UVHvvJo5MzE4Mzc3NjM=耗时:01ms--解密结果:{"pin":""}"msg": "成功",明文: {'pin': ''}
2023最新9月京东sign、eid、body.cipher、ep、x-api-eid-token、uuid、sk、h5st3.1、h5st4.1、singstr、encstr、log、paysign
qq_2045339400
05-25 1490
京东JD某东 sign、body、paysign、eid、log、Numberenc、encStr、h5st、免费调用例子
Js加密参数逆向以及利用(技术)
qq_36585338的博客
12-12 866
2.利用python调用对方JS加密算法生成加密后的字符串再进行爆破。1.通过JS加密逆向思路 - 寻找到JS加密所有要调用的函数。利用python直接调用对方网站js加密函数。再通过调用加密函数生成的字符串进行发送。
JS逆向爬虫----请求参数加密【token】①
Jesse_Kyrie的博客
09-12 2496
通过nodejs编写了关键参数token的生成方法,并已经通过了测试。token参数是动态变化的,整个逆向过程涉及sha1.base64等加密算法与实用调试技巧。
解决TOKEN已过期,TOKEN加密的js逆向模拟
朴拙科技的博客
10-04 1548
{“code”:10004,“count”:null,“data”:null,“message”:“TOKEN已过期”}’
调用api接口获取token
EaSoNgo111的博客
09-20 521
【代码】调用api接口获取token。
swedish-eid-idp:瑞典eID框架的参考身份提供者
05-09
瑞典开斋节 瑞典eID框架的参考身份提供者swedish-eid-idp存储库包含适用于的的配置。 IdP通过简单地让用户选择他或她要作为身份验证的用户来模拟身份验证阶段。 但是这部分不是有趣的部分。 目的是为瑞典eID联合会内...
technical-framework:瑞典eID框架的技术规范
05-11
瑞典eID框架的技术规范 该存储库包含瑞典eID框架的规范。 关于 该分支中的规范是瑞典eID框架的最新开发。 最新的正式版本可以在。 反馈和问题 如果您对技术框架有任何反馈或疑问,请加入。 单击以发出邀请。 工作...
eid-mw:eID中间件(主存储库)
02-05
有了这个,您可以: 与需要eID身份验证的安全网站进行通信使用您的eID签署文档和子邮件使用查看器,读取eID卡上的身份数据,验证其有效性,并将其存储以备将来使用使用提供的API,在您自己的自定义应用程序中执行...
gcal-cli:适用于Node.js的Google日历命令行工具
01-30
适用于Node.js的Google日历命令行工具 程序化事件列表,插入或批量插入变得容易: $ gcal insert 'Party tomorrow from 3pm to 5pm' Party: 2017-09-08T15:00:00+09:00 ~ 2017-09-08T17:00:00+09:00 ...
京东h5st和x-api-eid-token逆向分析
m0_72605044的博客
11-16 2686
e是之前的对象做了处理,body已经知道是sha256后结果,中间一串固定,最后是一个当前时间戳。接下来就是模拟生成算法了,这里我采用了纯算法,完全没必要扣js,毕竟一扣就是好几万行代码。经过测试发现对其检测并不是很严格,重点还是这个h5st这个参数,废话不多说直接来分析吧。这里我们找他的加密方法,发现他是由这个r方法进行加密这个h5st这个参数的。此时发现h5st已经生成了,向上跟栈查看哪里调用了该函数。首先先抓个包,分析他的参数,发现有一个h5st这样的参数。r是由这几个参数生成的。
API关于TOKEN的使用
南北雪树的专栏
01-08 5605
       很久没写更新内容了,新的一年也开始了,是时候该把自己的东西整理一遍了。2018年也没少看书,但是真正属于自己的东西很少很少,或者学习的时候浅尝辄止,也是时候给自己清醒清醒了。         公司自己的项目是基于Spring Boot敏捷开发的,起初对于接口的鉴权等认证操作都很粗糙,网上也搜集了一下其他资料,总的来说。比较详细的鉴权的两种方式如下: 其一是认证与鉴权,对于请求的用...
【Android逆向】rpc调用某安App的X-App-Token签名函数
小陈的技术博客
08-02 1416
在学习的过程中,会遇到有些算法比较麻烦,没有办法直接还原。那我们就另辟蹊径,不去分析具体的算法实现。直接使用rpc的方式调用算法函数,本文章以某安App的X-App-Token签名函数为例。
openlayers绘制经纬网格,有添加或者移除功能
最新发布
qq_52959651的博客
05-21 207
我的项目是vue写的,当点击多选框显示隐藏经纬网格,下面直接写代码。项目需要在地图中添加经纬网格,然后看了一下官网有相关的介绍。这是删除图层相关的网站。这是绘制经纬网格方法。
x-api-eid-token
07-27
引用\[3\]中提到了tk、fp、ts、ai、algo这五个值的由来分别是:接口处返回、浏览器指纹、格式化的时间戳、appid、加密库。根据这个信息,我们可以推断x-api-eid-token可能是其中之一。然而,根据提供的引用内容,无法确定x-api-eid-token的具体含义和用途。请提供更多相关信息以便我能够给出更准确的答案。 #### 引用[.reference_title] - *1* *2* [百度小程序jd的token提取](https://blog.csdn.net/shuishen49/article/details/124313598)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [js逆向-某东h5st](https://blog.csdn.net/weixin_46672080/article/details/130573416)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值