x-s和web_session

已于 2023-07-11 10:53:35 修改
阅读量4.8k 收藏 2
点赞数 5
分类专栏: 爬虫案例合集 文章标签: 前端 javascript chrome
于 2023-02-03 10:20:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43582101/article/details/128861291
版权
爬虫案例合集 专栏收录该内容
54 篇文章 1782 订阅 ¥49.90 ¥99.00
订阅专栏
博客内容介绍了在web更新后,请求接口时需要在headers中添加x-s和x-t,以及cookie中的web_session。web_session是与环境绑定的,依赖于webId参数。提供了JS代码和Python代码作为参考,并提示了如何逆向分析X-S的sign方法。
摘要由CSDN通过智能技术生成

开工发现web更新了,目前笔记信息接口: /api/sns/web/v1/feed

请求时headers中需要x-s、x-t,cookie中需要有web_session。

在这里插入图片描述

文章目录

web_session

web_session和当前环境绑定,重新注册后浏览器中的ID也会更新。

其主要依赖的参数是webId,类似于设备指纹。根据测试得出,webId只需要随机生成32位字符即可。

然后通过webId去注册web_session。

参考代码如下:

import requests
import random

def register_webId():
    s = "abcdef0123456789"
    webId =
了解本专栏 订阅专栏 解锁全文
考古学家lx(李玺)
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 31
    评论
专栏目录
订阅专栏
最新:js逆向之xhs jsvmp逻辑分析X-S
weixin_44691004的博客
05-24 4564
(2)可以发现在第一步字符串最初生成的地方含有一个新的明文字符串,首先怀疑加密字符串由该明文字符串加密生成,具体为jsvmp里的自写加密逻辑又或者是常见的加密呢,通过逻辑分析,拿了该字符串的length和取charcode,且加密出来的字符串通过多次重试,不同的明文,部分相同,且长度不为32*n。可是大人,时代变了。最后说一下,能看到这篇文章的,都是对爬虫感兴趣,又有兴趣去做采集的,相对来说,本文所说到的加密解密还是比较适合新手的,之所以这么说,等到你安安静静去分析时你就会恍然大悟,原来只是这样。
xhs 最新X-s jsvmp纯算法还原
qq_33567220的博客
07-05 1173
某红书 X-s最新jsvmp纯算法还原
小红书逆向案例之补环境
yumo_henxun的博客
06-17 1266
因为源代码载荷的JSON格式 **“content-type”**是可以读取到的,但是如果我们用是Python的json序列化的dumps格式是会报错,有些网站可能做了识别机制。需要添加一下 delete global ,原因是有些网站会分析global这个单词有没有生效 global is not defined, 他们会加一个if判断,因为我们用的环境是node提供的global,如果判断正常他们会返回一些假的数据源,如果判断报错那就返回真的数据。所以需要把不必要的符号之类改成相对于的就好。
XHS的X-S,a1,webId,web_session逆向分析
qq_43276590的博客
04-13 1179
简单的写了一个脚本进行数据的采集,解决下代理ip和账号问题应该就可以了,我也不知道,因为没有大量采集过。但是只有在登入后才能返回详细的数据,因此web_session参数里面包含了你的账号信息,我看网上有人说过期时间很久,就没有进行逆向,直接复制好了。这个参数B站都有大佬开源了,其实也简单,代码全扣,补环境即可。这段代码的还原真的很简单,就是把几个生成参数进行拼接,随机值都可以直接写死。在没登入的情况是调用一个接口返回的,这个接口好像没有任何加密参数。就是个32位随机值,必须携带,但是可以随便生成。
xhs x-s扒拉
wangenjie1992的博客
01-17 1279
xhs x-s
xhs x-s jsvmp算法还原分析流程记录
qq_38977435的博客
06-02 957
x-s算法还原流程及分析
某书X-S(XS)纯算逆向
qq_45499385的博客
05-06 3168
VMP的核心思想是将原始的可执行代码转换为一种只能在虚拟机环境中运行的形式,这样可以增加对代码的保护性。根据上图可以发现他先执行之后,后面又跟了一个括号传了参数,这就说明sanji函数的调用返回的又是一个函数,而返回的这个函数调用了后面的参数。这是我吗值得注意的,因为,字符串的拼接需要用到加法,所以我们在此处插桩,因为输出的内容过于庞大,所以我加入了if判断,只输出一部分日志。动态修改程序行为:插桩可以用于在程序执行期间动态修改程序的行为,如替换函数调用、修改参数值等,以实现特定的功能或修复bug。
php_6_fast_and_easy_web_development.pdf
08-18
Web Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536 Mailing Lists. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538 User ...
java Struts 1.x 框架 Web 开发
06-03
Struts 1.x 是一个基于 Model-View-Controller (MVC) 设计模式的 Java Web 开发框架,由 Apache 软件基金会开发并维护。...尽管如此,了解 Struts 1.x 的基础知识对于理解Java Web开发的历史和演变仍然非常有价值。
struts2-s标签
01-20
<s:hidden name="token" value="%{session.token}"/> ``` ##### 21. `<s:i18n name="">` 该标签用于国际化文本,可以输出根据用户设置的语言环境不同的文本。 **示例:** ```xml <s:i18n name="welcomeMessage"/...
nginx+tomcat实现负载均衡,使用redis session共享
09-30
总结,通过Nginx的反向代理和负载均衡能力,结合Redis的Session共享,我们可以构建一个高可用、会话一致的Web应用集群。这不仅可以提高服务的处理能力,还能确保用户在切换服务器时仍能保持登录状态,提升用户体验。
XHS X-s(XS)纯算逆向
最新发布
2401_86344989的博客
07-16 932
XHS xs纯算逆向
逆向实战31——xhs—xs算法分析
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
02-27 1590
这里江夏在星球也写了一份文章,底部有代码 感兴趣的可以看看无论是补环境还是硬扣算法。其实都阔以得到正常结果。不同的是运行速度以及花费的精力的成本不同。选择什么样的方法最后还是靠自己。最后运行。两者都能得到结果公众号链接星球链接。
JavaWeb Session 一图胜千言
hjxxxxx123491857的博客
01-12 91
JavaWeb Session 一图胜千言,session的底层创建机制
xhs_最新x-s检测修改
weixin_44691004的博客
06-01 1056
最新的更新中,新增了更多的navigator检测;可以看到包括cpu等的信息都是有采集的,看来是像做一个绝大部分检测点完整的检测环境,但还是一样没有参与计算,还是扯,但相信也是在不远的将来了;结果跟上篇文章所说的,该网站的对抗只会越来越多,从以下的修改点可以看到,其中signSvn,可能有朝一日能看到3位数乃至4位数;最终base64的数组中,signSvn由 50 -> 51;5月30号下午5点,悄咪咪更新,花费了5分钟才解决新更新点;des加密的key数组修改,下个桩就能看到,或者后台dd;
【某书】新版x-s纯算法,纯分享
weixin_42934880的博客
05-25 1737
试了下cookie只要a1和web_session就行了,a1就是上面的x3,写死也行。看着一些固定值陷入了沉思,试着查了一下,发现是一个。新版x-s,x-t加密,XYW_后面那段是base64,处理下得到。x1=get直接md5(url的路径部分),post就再拼接参数。的加密,就直接捞js源码咯,魔改了一下就成功了(●’◡’●)!那么找payload的加密就行了。x3=可以写成undefined。ps:sign还是可以用的目前。
某书最新版X-s(2023/5/23更新)
自成背后的博客
05-23 1502
某书最新版X-s(2023/5/23更新),不走老版的sign了,走新的VMP算法_webmsxyw
webmsxyw x-s分析
李玺
05-21 3595
通过webmsxywx生成的x-s分析
某书x-s和web_session
05-02
X-S和Web Session都是与网站安全性相关的概念。X-S是指“跨站点请求伪造”,也就是攻击者在使用已登录用户的网络服务时发送虚假请求,达到偷取用户敏感信息的目的。而Web Session是指用户在使用网站时创建的一种会话状态,网站向用户分配一个Session ID(会话ID),用户访问网站时需要提供这个ID,网站才会识别该用户。Web Session一般使用cookie存储,而cookie的使用对用户隐私安全有较大影响。为了保障用户隐私和网站安全,开发者需要采取一些措施。对于X-S攻击,开发者可以在前端代码中引入防止X-S攻击的框架;而在Web Session中,开发者可以采用HTTPS加密,限制cookie的使用范围等方式加强网站安全性。总的来说,保障用户隐私和网站安全是网络服务开发者首要的工作之一,需要开发者不断深入学习和研究,同时采取相应的措施来提高网站的安全性。
评论 31
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

考古学家lx(李玺)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值