某网站加密参数分析-某网站加密参数分析

已于 2024-05-25 07:47:24 修改
阅读量187 收藏
点赞数
分类专栏: 爬虫 文章标签: 前端 javascript 开发语言
于 2023-03-11 00:52:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43701894/article/details/129457919
版权

某网站加密参数分析

目标地址:aHR0cDovL3ljLndzd2oubmV0L2Foc3h4L0xPTC9wdWJsaWMvcHVibGljLmh0bWw=

直接请求,加密参数有这么多个
QQ截图20211103102056.png
以及返回数据,同样需要解密
image.png
任务很明确,加密与解密

简单粗暴全局搜索,很遗憾,这种方法在这里是无效的,搜不到任何一个关键字,原因是关键的JS都是异步加载的,在浏览器的source面板中看不到,搜索的时候,浏览器默认不会搜匿名的JS文件。有两种办法:

  1. 从调用堆栈入手
    QQ截图20211103115701.png
    直觉告诉我,点进去那个go函数,然后,看下代码,很容易找到断点位置
    QQ截图20211103115817.png
    再发次请求,直接断下来,加密的所有逻辑都在paramEncode函数里,同时在下面几行代码还可以看到successCall,拿到请求之后解密,一举两得
    paramEncode.png
    跟进去之后,整个waterSecurity对象负责所有加密扣出来稍微改改就好了,然后我们会发现只解决了第一个请求部分参数的加密,第二个请求比第一个请求多了几个参数
    在第一个请求发送完之后,继续跟进会发现一些关键字即paramEncode,这就是剩下的加密位置了
    btime.png
    到这里所有的参数都解决了。

运行结果:result.png

整个过程相对还是简单,写这篇文章的目的有两个:

  1. 浏览器异步加载JS
  2. 关于全局搜索,其实浏览器可以开启搜索匿名JS文件的功能,那么在VM中的JS代码也能被搜到了,这是我在解决这个网站之后才发现的。。在谷歌浏览器右上角的设置,然后source开始匿名JS搜索功能就可以了。
    globalsearch.png

代码:Github

__如风__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Python实现阿里系某购物网站Sign参数加密
吴秋霖的博客
12-12 4494
某购物网站Sign签名参数加密分析与爬虫实战
某藏品网站加密参数(二)
qq_40979337的博客
07-18 165
较简单的AES加密解密
某比价网站加密参数
一起学习哈
05-08 521
网站地址:aHR0cDovL3d3dy5zc2dnNi5jbi8= 抓包确定加密参数加密参数是sign,这里我们先搜索一波 点进去搜索一波,最终确定: 从上边我们可以看到,加密是md5,而且加密参数在上边这张图,至于有没有魔改成分,我们稍后验证一下 对比刚才抓包看到的,我们可以发现一模一样!!! python转换加密: import hashlib appKey = '612bcfe884763' data = 'appKey={appKey}&keyword={key}&amp
认识HTTPS加密参数Identifying HTTPS encryption parameters
m0_65471360的博客
06-19 253
SSL/TLS 协议位于网络 OSI 七层模型的会话层,用来加密通信。SSL(Secure Sockets Layer,安全套接字层)是一种标准安全协议,用于在在线通信中建立Web服务器和浏览器之间的加密链接。SSL 通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。TLS(Transport Layer Security,传输层安全)是 IETF 在 SSL 3.0 的基础上设计的协议,它是 SSL 协议的升级版。
http带参数加密访问
提拉米苏
04-09 4319
有时候我们做项目需要用到HTTP传参,但是带着的参数我们希望密文显示。
Web前端参数加密分析破解与测试
道阻且长,行则将至。
01-07 2776
前言 在渗透测试过程中,许多系统会直接明文传输账户密码等敏感信息,存在被嗅探的风险。有的开发人员则会对相应的敏感信息在前端借助JS代码进行加密后再传输,使攻击者看到的是“一堆乱码”,从而无法正常进行篡改和其他渗透测试操作……如下图所示。 但是前端加密只能提高攻击者进行攻击的难度,并无法对敏感信息进行有效的保护。因为前端JS加密的代码是公开的(虽然可能会经过混淆和压缩),攻击者可以通过对加密函数的...
Python爬虫:逆向分析某云音乐加密参数
热门推荐
夏小悠的博客
09-22 4万+
博文通过对网易云音乐进行逆向分析,用Python代码模拟了AES和RSA加密过程,并在文章的末尾提供了一些参数,可以用这些参数来获取歌曲对应的歌词及用户的评论。
某咖啡 app 加密参数分析进阶版.md
07-13
数据挖掘
去哪儿-m-参数加密分析算法
08-17
"去哪儿-m-参数加密分析算法"是一个关于网络请求安全的专题,它涉及到如何保护用户数据不被非法获取或篡改。这个主题主要包括两个核心部分:JS(JavaScript加密算法和Python请求调用的实现。 1. **JS加密算法**:...
1688 sign参数加密分析
08-17
"1688 sign参数加密分析"这个主题聚焦于一种特定的安全措施,即如何对API请求中的"sign"参数进行加密,以确保数据的完整性和防止未经授权的访问。这个压缩包包含了实现这一过程的JavaScript代码和Python调用示例。 ...
URL参数加密解密,URL参数加密解密
11-15
URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;URL参数加密解密;使用简便;
thinkPHP中U方法加密传递参数功能示例
12-20
在涉及到参数传递时,U方法也提供了加密参数的功能,确保数据在传输过程中的安全性。 本文提供的示例中,展示了一种简单对称加密算法的实现,用于加密和解密传递给U方法的参数。下面将详细解释这个过程: 首先,...
加密常用网站
Cavan_C的博客
08-16 1万+
MD5解密:https://md5.cc/
Python selenium Browsermob-Proxy获取网页加密请求参数的方法及过程
熊河小家
02-26 2502
Python + selenium +Browsermob-Proxy获取加密参数
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 474
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 1004
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
TS如何处理js模块的类型?
最新发布
闻人放歌的三寸青草园圃
07-24 95
【代码】TS如何处理js模块的类型?
Odoo Registry 源码解读:前端世界的魔法师
清水欧度 Odoo ERP
07-23 953
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
TLS加密套件详解与分析
TSL加密套件是TSL协议中的一部分,它定义了一组特定的加密算法和参数,用于确保数据在传输过程中的安全性。以下是对部分TSL加密套件的详细分析: 1. TLS_NULL_WITH_NULL_NULL (0x000000):这是一个不提供任何加密和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值