某交易平台学习笔记

最新推荐文章于 2024-05-14 15:47:08 发布
最新推荐文章于 2024-05-14 15:47:08 发布
阅读量1.3k 收藏 12
点赞数 4
文章标签: python 爬虫 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54254408/article/details/129192015
版权

写来记录一下

网站:aHR0cHM6Ly95Z3AuZ2R6d2Z3Lmdvdi5jbi8jLzQ0MTkwMC9qeWdn

大概流程

  1. 测试反爬点

  1. 逆向分析

  1. 测试结果

测试反爬点

打开网页,我习惯先看Fetch/XHR,找找有无需要的数据接口,因为是学习的,直接就用items这个接口吧

打开数据包后可以看到,比较可疑的就这几个headers参数,看了下,很明显,X-Dgi-Req-Nonce参数猜测是随机的,X-Dgi-Req-Signature看着像是sha系列的,X-Dgi-Req-Timestamp时间戳,这不用猜了

逆向分析

因为这个请求是xhr的,可以使用xhr断点,但是我就直接堆栈了,直接点第一个,然后打上断点

然后就堆栈往下找,看到红框内的是不是好熟悉,手动狗头,这个就是用Promise对a数组内的函数进行调用,打上断点,因为a数组内比较少函数,所以就直接找加密的函数

很幸运,第一个就是,加密的函数,可以看到所有可疑参数都在了

接下来就简单啦,先研究一下他的逻辑,然后想扣就扣了,c值是固定的, 看l值,就是Aq(16)方法返回的

进去看看,其实就是取16位算过后的随机数再对ky字符串取值

再看d值,根据请求方式分为了两种,因为这个请求是post,而且get的比较简单,所以直接看其他的

f对象的p值其实就是data传入的值用&连接

再进Ig方法看看是咋加密的,可以看到就f对象的值拼接起来入参加密的,其中要注意的是data值需要根据键排序

到了这步,先测试一下刚刚的猜想,用这段字符串去加密试试看,明显就是原生的sha256加密,参数就是两个随机数再加上data的值

接下来也不想看了,就这样吧

测试结果

测试的时候遇到个问题,就是js的bool值否为false,python的为False,参数加密的时候需要转换一下

代码:

import random
import time
import hashlib
import requests
import json


ky = "zxcvbnmlkjhgfdsaqwertyuiop0987654321QWERTYUIOPLKJHGFDSAZXCVBNM"
Fq = ky + "-@#$%^&*+!"


def get_nonce(num):
    nonce = ""
    for i in range(num):
        yq = int(random.random() * 62)
        nonce += ky[yq]
    return nonce


def get_signature(params_data: dict, _nonce: str, _timestamp: int):
    c = 'k8tUyS$m'
    p_data = dict(sorted(params_data.items(), key=lambda k: k[0]))
    p_list = []
    for key, value in p_data.items():
        if str(value) == "False":
            value = "false"
        p_list.append(f"{key}={value}")
    p_str = "&".join(p_list)
    enc_str = _nonce + c + p_str + str(_timestamp)
    _sha256 = hashlib.sha256()
    _sha256.update(enc_str.encode("utf-8"))
    return _sha256.hexdigest()


def get_data():
    headers = {
        "Accept": "application/json, text/plain, */*",
        "Accept-Language": "zh-CN,zh;q=0.9,en-GB;q=0.8,en-US;q=0.7,en;q=0.6",
        "Cache-Control": "no-cache",
        "Connection": "keep-alive",
        "Content-Type": "application/json",
        "Pragma": "no-cache",
        "Sec-Fetch-Dest": "empty",
        "Sec-Fetch-Mode": "cors",
        "Sec-Fetch-Site": "same-origin",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36",
        "X-Dgi-Req-App": "ggzy-portal",
        "X-Dgi-Req-Nonce": "2u6Imf7dpWhlIvoz",
        "X-Dgi-Req-Signature": "9e1aba743fdda4ceb9091ae530442fa8e6dc465c01e966690c203cac8d114cc8",
        "X-Dgi-Req-Timestamp": "1677152802087",
        "sec-ch-ua": "\"Not_A Brand\";v=\"99\", \"Google Chrome\";v=\"109\", \"Chromium\";v=\"109\"",
        "sec-ch-ua-mobile": "?0",
        "sec-ch-ua-platform": "\"Windows\""
    }
    cookies = {
        "_horizon_sid": "c15c53a7-b7b3-445a-8a45-af8d72057d17",
        "_horizon_uid": "061cbea2-092d-4002-90d8-88848c7ac7e3"
    }
    url = "https:///脱敏处理/search/v1/items"
    data = {
        "type": "trading-type",
        "publishStartTime": "",
        "publishEndTime": "",
        "siteCode": "441900",
        "secondType": "A",
        "projectType": "",
        "thirdType": "",
        "dateType": "",
        "total": 0,
        "pageNo": 1,
        "pageSize": 10,
        "openConvert": False
    }
    nonce = get_nonce(16)
    timestamp = int(time.time() * 1000)
    headers["X-Dgi-Req-Timestamp"] = str(timestamp)
    headers["X-Dgi-Req-Nonce"] = nonce
    headers["X-Dgi-Req-Signature"] = get_signature(params_data=data, _nonce=nonce, _timestamp=timestamp)
    data = json.dumps(data, separators=(',', ':'))
    response = requests.post(url, headers=headers, cookies=cookies, data=data)

    print(response.text)


if __name__ == '__main__':
    get_data()

shengque
关注
某网站X-Signature签名破解
cp's blog
11-22 1976
网站签名机制是很常见的技术手段,本文介绍某网站X-Signature签名破解,js还原
某省公共资源交易平台异步SHA256加密
weixin_57644831的博客
09-07 384
某省公共资源交易平台异步SHA256加密逆向
交易平台相关参数加密
一起学习哈
03-26 885
交易平台相关加密参数
招标数据--(逆向--)
qq_41661056的博客
02-17 1657
【代码】招标数据--
淘宝最新签名算法分析(1)
godtoy的逆向小屋
10-09 4422
实现 淘宝版本 v9.0.0 原理:通过xposed 去hook 淘宝,介入socket.io, socket.io 服务端转成http即可提供签名服务 INPUT 打包算法 export module TaoBao { export class Sign { /** * 淘宝 9.0.0 * 生成签名参数字符串 *...
Python爬虫逆向——某公开数据网站实例小记(二)
最新发布
记事本
05-14 724
经过分析,headers里的内容有加密参数,则我们开始全文找headers。此网站经过分析,可以看出请求网址和参数均无加密,响应内容无加密。真正可以让我们进行学习的则是headers里两个比较明显的参数,可以看出是可以研究的。X-Dgi-Req-Nonce 和X-Dgi-Req-Signature。,可以看到有17处,由于不确定真正位置,因此,我们将17处依次打了断点。可以看到X-Dgi-Req-Nonce 是由l 生成的。重新请求后,依次查看headers断点,可以看到。可以看到请求后,断点会在。
程序化交易学习笔记(一)
凯凯王的博客
04-17 1630
了解学习期货程序化交易及其编程 程序化交易:制定规则,严格按照规则去交易 (本质:构建投资组合) 程序化交易不是“科研”,而是一项“工程”! 巴菲特说:分散化是对于无知的一种保护 一、为什么要进行程序化交易 减少盯盘的压力与情绪上的干扰 (外盘也需要关注) 超级行情时,人的情绪无法打败固定的交易模型 复制成功的交易模式 其他优势:利用统计优势寻找机会点 加快策略研发的速度,让交易规模达到效率化,系统化 减少盲目失败...
Java学习笔记之面向对象基本概念
12-22
也可以是无形的,如某项计划、某次商业交易。  对象是构成现实世界的一个独立单位,人们对世界的认识,是从分析对象的特征入手的。  对象的特征分为静态特征和动态特征两种。静态的特征指对象的外观、性质、属性...
性能测试学习笔记
06-22
### 性能测试学习笔记 #### 一、性能测试基础知识概览 性能测试是一种软件测试类型,用于评估软件系统的性能特点。它旨在确保系统能在预期的工作负载下保持响应迅速、资源利用合理,并且能维持良好的稳定性。下面...
量化交易学习笔记三-趋势策略测试
ddly2000的博客
04-03 240
通过他给的接口直接调用的数据,传递给backtrader,会报错。看了下取回的交易日期默认是倒叙的。怎么解决回头再研究了,能直接调取会更方便点,不过tushare按积分算调用频率,一开始注册很容120分,只可以调取未除权的日线数据,每分钟50次,每天8000次查询总量。看了下知名的海归策略,以20日移动平均线上穿55日均线为趋势买入信号,20日线下穿55日为卖出信号。顺便再求助下,是否有人知道海通证券的程序交易接口的文档哪里可以查询。
从零开始学股票学习笔记.doc
02-25
从零开始学股票学习笔记学习笔记旨在帮助零基础的投资者快速入门深入学习股票知识,结合通达软件快速学习,放心开心炒股。以下是学习笔记的详细内容: 一、开户流程 要开户需要身份证、证券公司、两张卡(上海...
某公共资源交易平台headers逆向
m0_46467017的博客
08-02 1571
这个参数的加密生成,代码继续往下走,发现有一个if-else判断分别打上断点看代码在哪断住,最后成功在else断住,发现还有一个数组混淆,在控制台打开,发现果然是。在调栈时我们会发现,我们在往前跟栈时,到了异步请求时,他的作用域不会变化,并且堆栈箭头不会往下,所以这时我们只能通过代码来判断并下断点分析查看。分析代码可以发现,这里有一长串的数组组成的参数,当其实是一个数组混淆,当我们在控制台打印时,就可以看到他们具体的值。逐步分析会发现,他有SHA256的关键字,并且在这一步后就生成了,我们需要的数组参数。
fse签名X-signature
李玺
09-16 1802
案例内容:fse搜索接口的签名X-signature
【js逆向学习】新手视角破解「广东省公共资源交易平台
DCSDA的博客
04-03 1591
学习js逆向,破解广东省公共资源交易平台,详细记录个人探索、踩坑全过程。网站地址: aHR0cHM6Ly95Z3AuZ2R6d2Z3Lmdvdi5jbi8jLzQ0L2p5Z2c=仅供学习参考,如有疑问欢迎交流,一起学习进步。
如何实现简单的请求鉴权
夫唯不争,故天下莫能与之争。
02-19 1869
如何利用对称加密实现简单的请求鉴权。 前期沟通 服务端与客户端需要在前期敲定以下内容: 秘钥对(apiKey和secretKey),由服务端通过安全的途径交给客户端,如邮件、IM等内部渠道。 头部名称,包括APIKey、时间戳、签名及业务相关的头部。 加签算法,即根据业务参数及secretKey如何生成加密签名,客户端与服务端需保持一致。由客户端加密后的内容,在服务端用同样的秘钥加密...
时间戳格式(一)——请求格式
Alex
10-11 3108
TimeStampReq ::= SEQUENCE { version INTEGER { v1(1) }, messageImprint MessageImprint, --a hash algorithm OID and the hash value of the data to be Ad...
爬虫】JS逆向解决反爬问题系列4——nonce破解
weixin_42108731的博客
06-10 595
JS逆向分享
http 请求增加 X-Request-ID
黎明
02-22 4537
namespace log\processor; use Request; class RequestProcessor { public function __invoke($record) { $extra = [ 'method' => Request::method(), 'path' => Request::pathinfo() ]; if (Request::head
关于CSDN获取博客内容接口的x-ca-signature签名算法研究
Hello_wshuo
10-27 3318
前言 源码下载 不知道怎么就不通过了,这篇文章放出去几个月了,然后突然告诉我不行了,所以我打算换个平台(至少不能在一棵树吊死),垃圾审核 我最初想直接获取html博客,然后保存在本地,最后发布到别的博客平台,但是html直接爬取样式布局方面很不协调,所以我决定寻早我原始的markdown格式(我都是用markdown写的,而不是用富文本编辑器) 接口 简单调试得到 https://bizapi.csdn.net/blog-console-api/v3/editor/getArticle?id=109204
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值