毒APP newSign算法分析 得物逆向分析

最新推荐文章于 2024-08-02 16:58:35 发布
最新推荐文章于 2024-08-02 16:58:35 发布
阅读量3.1k 收藏 9
点赞数 3
分类专栏: 爬虫 文章标签: python 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghtt1/article/details/119787707
版权

毒APP主要使用signnewSign两个参数来对url进行验签,下面是首页推荐接口的请求:

GET https://app.poizon.com/api/v1/app/index/ice/shopping?lastId=&limit=20&newSign=3b799d62162b6ce9101f2b4eecee2e46](https://app.poizon.com/api/v1/app/index/ice/shopping?lastId=&limit=20&newSign=3b799d62162b6ce9101f2b4eecee2e46 HTTP/1.1
duuuid: 124ed23e39b48f13
duimei: 869437022872919
duplatform: android
appId: duapp
duchannel: du
duv: 4.16.1
duloginToken: c651c053|71979198|c1d97f25f2e7b844
dudeviceTrait: 2014813
timestamp: 1573811922502
shumeiid: 201911060919363513942e835afe4a655e595011a6c1f2018cae614d9493b0
User-Agent: duapp/4.16.1(android;5.1.1)
Host: app.poizon.com
Connection: Keep-Alive
Accept-Encoding: gzip
Cookie: duToken=d41d8cd9%7C71979198%7C1573801295%7C82764f7dbf13b384

sign的计算方法如下:

  1. 把 url中的参数放入map中
  2. uuid、platform、v、loginToken放入map中
  3. 对map中的元素按key进行排序
  4. 把map中的元素按keyvalue形式拼接成字符串
  5. 在字符串末尾拼接一个常量字符串
  6. 计算字符串的md5屏幕快照 2019-11-15 下午6.03.25.png

newSign的计算方法跟sign比较相似,只是最后是先对构建的字符串AES加密,然后再计算md5,加密部分是在libJNIEncrypt.so中实现。

屏幕快照 2019-11-25 上午10.32.58.png毒APP API的签名参数计算流程就这样,对细节感兴趣的朋友可以联系1420849833一起交流学习 

 

 

python进击者
关注
专栏目录
得物小程序sign参数加密方法
09-01
得物小程序sign参数加密方法 可以供大家学习但是不能用于非法用途,否则后果自负
得物)加密算法解析 得物逆向
Kaiser的博客
05-02 6581
写在前面: 本文仅限交流学习使用,请勿使用在任何非法商业活动,禁止用于非法用途。否则后果自负。如有侵权,请告知删除,谢谢! 抓包分析: 本文以detailV3接口为例: POST https://app.dewu.com/api/v1/h5/index/fire/flow/product/detailV3 { "sign": "925981af5b1b6abfb57b795a4553f845", "spuId": 1263267, "propertyValueId": 2974...
得物小程序sign、data参数加密、响应体解密算法还原
最新发布
m0_38098782的博客
08-02 3051
得物小程序sign、data参数加密、响应体解密算法还原
某物登录表单加密
03-29 1525
之前分析过某物h5的以及小程序的搜索接口,就是一个aes,秘钥不固定,表单里把秘钥以及密文一起发过去,服务器解密后再把数据加密返回,客户端解密展示到页面上.这期是关于app的登录,密码登录。
APP 逆向 --- du APP 逆向
replat-xin
05-16 3663
APP 逆向 — du APP 逆向 第一步就是抓包 根据抓到的包,可以看出需要破解的参数 newSign 、password、uuid 还有 headers 中的参数 shumeiid/x-auth-token/duuid/duimei/shumengid 。也就是有这么多的参数是不知道的,需要去 app 中找的。 第二步 使用 jadx 打开 app 直接搜索 api, 点进去后直接查找用例,就会跳转到下图。 走到这再去点的时候,发现一些参数而且调用了 newParams, 参数 userName
某物app推荐商品接口逆向分析
2301_79445611的博客
02-25 3492
虽然不是很难,但是处理起来还是挺复杂的
得物app中协议newSign算法 X-Auth-Token获取 数据采集
kxgdy的博客
11-13 2215
得物app中协议newSign算法 X-Auth-Token获取 免责申明 此内容仅供学习交流使用,不用于商业用途,如果涉及侵权,联系作者删除。 X-Auth-Token和newSign比较重要,一般请求获取采集数据的时候需要。特别是做爬虫的时候,或者采集对比商品的时候需要协议分析。 ...
APP应用广告逆向循环现象成因分析.pdf
08-26
"APP应用广告逆向循环现象成因分析" 在新媒体不断发达的今天,广告市场似乎已经是被新媒体占据了半壁江山,但是现今的电视综艺节目中却出现了APP应用广告的“倒行逆施”,这无疑给沉睡多年的传统媒介广告市场焕发新...
干货!一文了解安卓APP逆向分析与保护机制
02-24
安卓APP安全包含很多内容,本次分享了混淆代码、整体Dex加固、拆分Dex加固、虚拟机加固等方面。事实上,这些内容也是国内近几年AndroidApp安全保护的一种主要趋势。Java代码是非常容易反编译的,作为一种跨平台的、...
互联网 群游旅游APP的SWOT分析.pdf
08-26
互联网群游旅游APP的SWOT分析 互联网群游旅游APP发展的SWOT分析是指通过分析互联网群游旅游APP的优势、劣势、机遇和威胁因素,从而更好地帮助企业或志愿者在经验设计、诉求导向和数据处理等方面扬长避短,规避措施...
基于Apriori算法的手机APP和广告投入分析.pdf
08-26
在本分析中,Apriori算法被应用于手机APP和广告投入的关联分析,以找出不同类型的APP使用率与商家广告投入之间的关系。通过对月度移动设备类型、APP的使用次数占比以及广告投入指数等多个指标的分析,该算法可以揭示...
某物APPnewSign和X-Auth-Token
weixin_41259961的博客
04-07 2047
经测试,X-Auth-Token和newSign是必要的。
得物app逆向交流探讨
2301_76856965的博客
03-09 1097
基于frida来进行Hook(Java代码)搜索,商品详情,商品价格,评论。本文章来源于网络,版权归原作者所有,如果本站文章侵犯了您的权益,请联系我们删除。
得物app frida-rpc hook 搜索功能
qq_33403388的博客
09-01 3195
frida-rpc hook得物app
pyppeteer(三) 小红书PC滑动破解(数美验证码)
zc520yzy的博客
06-24 6130
【代码】pyppeteer(三) 小红书PC滑动破解(数美验证码)
得物sign参数逆向分析Python算法还原
吴秋霖的博客
04-20 3468
使用Python获取得物商品数据、包含Sign签名算法分析Python算法还原
得物app 数据分析
dontbugme的博客
12-08 3939
一些app做了加解密,那么怎么才能采集到数据呢?
得物2021最新请求参数逆向-学习
w2786886635的博客
10-10 1662
某高档品牌购物网站名为(某物)最近也不知道什么时候请求参数和返回参数都进行了加密,多好的一个学习机会啊,直接开学 看一下他的参数,这不就是经典的AES加密嘛,用的是hex输出,直接开干 刚开始好家伙就来跟我玩debugger,直接false掉就行了,不用管。 好家伙,连点都不用断,直接就丢给我看了, 出了个混淆的代码,搜一下aes还真有。 先不着急看别的,先看一下加密的参数是什么。 sign就不用讲了,和以前的一样。其余的都是一些基本参数。 AES加密嘛......
得物数据抓取+参数加密解析
Voccoo的博客
09-02 7080
环境:python 3.6 脚本最后一次修改于 2021-08-27 本次解析的参数为sign,解析的来源为微信小程序源码和H5页面JS文件 咱也不废话,直接上干活 应产品的需求要求需要相关的品类数据(详情数据也验证过,都是相同的方式,没问题的) 需要获取产品列表页的数据,通过两个post接口获取。 接口1【https://app.poizon.com/api/v1/h5/search/fire/commodity/detail_brand"】 参数:{“sign”: 加密参数, “brandId”:
得物app接口newsign加密分析
02-02
得物app接口newsign加密是指在得物app接口中对参数进行加密处理的一种方法。通过newsign加密,可以保护接口中传输的数据的安全性。 newsign加密的具体实现过程包括以下几个步骤: 1. 首先,将接口中的所有参数按照预定的规则进行排序,通常是按照参数的ASCII码进行排序。 2. 然后,将排序后的参数按照key=value的形式拼接成一个字符串。 3. 接着,在拼接的字符串结尾添加一个密钥,通常是一个固定的字符串。 4. 最后,对拼接后的字符串进行加密处理,常见的加密方式有MD5、SHA1等。 通过对接口参数进行排序和拼接,并在最后添加密钥进行加密处理,可以保证参数的唯一性和完整性,防止参数被篡改或伪造。这样可以有效地保护接口中传输的数据的安全性,防止恶意攻击或非法操作。 值得注意的是,为了保证加密的可靠性和安全性,密钥应该具备一定的复杂性,尽量避免使用过于简单或容易猜测的密钥。同时,为了进一步提高接口的安全性,可以结合其他安全机制,如HTTPS协议、访问令牌(Token)等。 总而言之,得物app接口的newsign加密是一种保护接口数据安全的方法,通过对参数进行排序、拼接和加密处理,可以有效地防止数据被篡改和伪造,提升接口的安全性和可靠性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值