某二手图书逆向案例

已于 2022-12-28 23:29:41 修改
阅读量413 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: web逆向 文章标签: python
于 2022-10-25 18:35:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IIQQQ/article/details/127518772
博客围绕Python对特定网址请求进行分析。指出请求中的x-request-token、x-security-key每次请求会变,x-timestamp为时间戳。通过在控制台搜索发现关键信息,还给出四个参数生成方法,其中ge为加密,获取A方法可得加密结果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

受害者:aHR0cHM6Ly93d3cuZHVvemh1YXl1LmNvbS9jYXRlZ29yaWVzLzE5MjcwNTM2NDYyMDIxODI4Nw==

分析:

  2. x-request-token:每次请求会发生变化
  3. x-security-key:每次请求会发生变化
  4. x-timestamp:时间戳

在控制台搜索 x-request-token 发现只有一处

此处和请求头是不是一模一样? 打个断点,刷新页面就会断下来。下面就是这四个参数生成的方法。这里只有ge是加密。只要吧A方法拿下来就能得到加密结果。这个加密还是比较简单的。

fe = Date.now()

me = Math.floor(1e8 * Math.random())

be = n().session

ye = Object(v.m)(be).id || 0  ==>  v.m(be).id || 0

ge = A()(fe, ye, me)


 此处ye传入的be是一个对象,取user里面的ID值;如果有ID值取ID否者为0。

运行结果:

提示:若是侵权请联系删除,若是侵权请联系删除,若是侵权请联系删除,重要的事儿说三遍。 

dnjvvJpweXRob244NjY=

爬虫和逆向教程-专栏介绍和目录
数据知道的博客
02-28 1万+
本专栏为爬虫初学者和进阶开发者量身定制的爬虫和逆向学习园地。为你提供全面而深入的爬虫和逆向技术指导,从入门到精通,从基础理论到高级实战,助你在数据的海洋中畅游,挖掘出有价值的信息。通过本专栏的学习,你将具备独立开发和优化爬虫程序的能力,及逆向分析能力和项目开发能力,成为爬虫领域的佼佼者。
爬虫案例:类和对象思维获取孔夫子旧书网信息
liaozp88的博客
12-09 927
案例只做学习,不做他用! import os import re import requests import random from lxml import etree from bs4 import BeautifulSoup import threading # html提取并存储类 class Get_html: def __init__(self): self.headers=self.get_headers() self.lst=[] #
微服务系列之SpringBoot基础:过滤器、拦截器、Aop切面
kuangpengfei的博客
03-02 2539
SpringBoot过滤器、拦截器、Aop切面
时间戳转换时间
qq_38026437的博客
09-27 998
写了一个通用时间戳转换的函数 gettime: function (time,str,ge) { var st = str || "1 1"; var list = st.split(" "); let nian = ge == "ch" ? "年" : "-" ; let yue = ge == "ch" ? "月" : &quot
Postman调试技巧之接口签名
weixin_33739541的博客
07-11 1350
1. 引言大家在调用第三方接口时,通常都会得到ClientID和 SecretKey ,然后再通过签名后才能请求第三方接口。那么,在仅仅使用Postman的情况下,能否完成这样繁琐的签名操作呢?答案是肯定的。接下来让我们一起了解Postman的强大之处。2. 服务端首先我们看看下图服务端的校验逻辑:细心的朋友可能会发现,这里我只获取了请求中的Sign和Timestamp,而MasterKey是直接...
代码签名证书过期后时间戳所起的作用
fighting_oyj的专栏
09-17 2898
代码签名证书过期后时间戳所起的作用 ,这是许多用户经常提出的问题。首先,让我们了解一下时间戳的作用:任何数字证书都是有有效期的, 代码签名证书支持 1-3 年有效期。 然而,您的软件的生命周期一般都会更长,为了避免签名证书到期后需要重签软件和重新发布,必须使用免费提供的时间戳服务。当您对代码签名时,代码产生的哈希值将发送给时间戳服务器进行时间戳反签名。这样,当用户下载签名代码后, IE 浏览器将进
全局配置ajax时间戳
一路向前的博客
07-24 317
$.ajaxSetup({ beforeSend: function(jqXHR, settings) { //在请求前给修改url(增加一个时间戳参数) settings.url += settings.url.match(/\?/) ? "&" : "?"; settings.url += "timestamp=" + new Date().getTime(); }, }); ...
建议收藏 | 最全的 JS 逆向入门教程合集
热门推荐
咸鱼学Python的博客
11-20 2万+
点击上方“咸鱼学Python”,选择“加为星标”第一时间关注Python技术干货!嘿,大家好,截止今天咸鱼零零散散分享爬虫、数据分析基础和 Web 的内容已经136篇...
iOS安全逆向之旅--安全逆向环境搭建和工具使用介绍
编码美丽
11-16 5193
一、前言这一篇文章我们继续介绍iOS安全逆向相关知识,之前已经介绍了一篇入门的文章:iOS安全逆向知识概要简介 介于之前已经了解了Android逆向相关的知识,所以这里会相对比较容易入门...
python爬取网易藏宝阁手机版_Crack-JS: Python3爬虫项目进阶实战、JS加解密、逆向教程、css 加密、字体加密 - 犀牛数据 | 美团美食 | 企名片 | 七麦数据 | 淘大象 |...
weixin_33585822的博客
01-13 2718
JS解密案例│├── lingduip // -----零度ip-----│ ├── lindu_ip.js // js解密逻辑├── 66ip // -----66ip代理----│ ├── ip66_1.js ...
从头学习爬虫(四十一)高阶篇----模拟js生成Hearder中X-Request-token、X-Request-ts
qq_36783371的博客
11-05 2535
本文主要提供中间模拟生成Hearder中X-Request-token、X-Request-ts 前后通过postman模拟代替代码实现 一 需求 https://yc.yonyoucloud.com/cpu-fe-tender/dist/inquirydetail/index.html?id=77556&from=nfsn 爬取信息 二 分析请求 主要找个这个ajax...
TIMESTAMP(时间戳)详解
dfhh1989的专栏
10-17 1万+
TIMESTAMP的变体 1,TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP   在创建新记录和修改现有记录的时候都对这个数据列刷新   2,TIMESTAMP DEFAULT CURRENT_TIMESTAMP  在创建新记录的时候把这个 字段设置为当前时间,但以后修改时,不再刷新它   3,TIMES
Android逆向笔记-破解某APP签名摘要算法
IT1995的博客
07-13 1701
这里科普几个摘要算法,散列算法(签名算法)有:MD5、SHA1、HMAC 用途:主要用于验证,防止信息被修。具体用途如:文件校验、数字签名、鉴权协议 MD5:MD5是一种不可逆的加密算法,目前是最牢靠的加密算法之一,尚没有能够逆运算的程序被开发出来,它对应任何字符串都可以加密成一段唯一的固定长度的代码。 SHA1:是由NISTNSA设计为同DSA一起使用的,它对长度小于264的输入,产生长度为160bit的散列值,因此抗穷举(brute-force)性更好。SHA-1设计时基于和MD4相同原理
对某数藏app逆向安全分析
app安全逆向、移动开发、tls/ja3、爬虫、反爬
03-10 3485
昨晚我群里有个老哥在问移动端滑块怎么分析因为大多app端的滑块都是加载在webview上的我当时突然就想到才没几天搞定的一个app,也有webview部分的操作,因为是用uni打包的,所以实际走的还是webview。而uni相关的其实之前发过一篇对uni-app开发的某app逆向分析不过今天这个app有点不同,我感觉是值得记录的,所以准备再写一篇有关这个的工作避坑&内推(仅成都)、技术交流、商务合作、技术交流群geekbyte。
咸鱼sign逆向分析与爬虫实现
m0_46639364的博客
10-01 2789
所以我们要做的是请求两次同一个接口,第一次拿返回cookie中的_m_h5_tk以及_m_h5_tk_enc(两个是绑定的,必须在第二次请求的时候一起传,否则会返回非法令牌的响应),然后加密​得到sign发第二次请求。注意看我圈出来的,上面的红框就是返回我们需要的cookie的请求的sign值的加密结果跟明文,下面的红框就是传入了拿到了_m_h5_tk的明文跟加密结果sign值。,后面的都是明文没什么好说的,我首先想的是,明文知道了,加密结果又是个32位的,会不会是标准的md5?趁现在赶紧拿去上分,冲~
rxjs处理http请求超时
宇宙一隅
09-04 2589
使用场景 用户进行一个操作请求后台而长时间未响应,我们希望给用户一个信息展示(请求超时,网络不好…). RxJS实现 关于RxJS请看这里 我这个功能的实现主要使用 delay,race两个操作符。 * delay 通过给定的超时或者直到一个给定的时间来延迟源 Observable 的发送。延迟时间(以毫秒为单位的数字)或 Date 对象(发送延迟到这个时间点)。 * race 返...
请求中包含动态生成时间戳(timestamp)教你使用 Fiddler 抓包并篡改返回数据
pytester的博客
02-14 757
请求中包含动态生成时间戳(timestamp)教你使用 Fiddler 抓包并篡改返回数据
前后台以Timestamp作为传参格式
NewxCJY的博客
11-30 3834
该处理全部基于2.3.0.RELEASE版本 返回参数Timestamp格式以Long格式返回 在yaml配置文件中添加: spring: jackson: time-zone: GMT+8 serialization: WRITE_DATES_AS_TIMESTAMPS: true 返回参数Timestamp格式以'yyyy-MM-dd HH:mm:ss'格式返回 在yaml配置文件中添加: spring: jackson: time-zone:
oracle日期时间型timestamp的深入理解
x²+(y-√³x²)²=1的博客
01-29 475
今天,在读取日期格式数据时,出现这样的格式 “ 01-10月-08 07.46.41.000000000 上午 ” ,在网上找了一下, 这个也是oracle的一种日期保存格式,数据都是日期类型,只是显示的结果变成这样 1、字符型转成timestamp select to_timestamp('01-10月-08 07.46.41.000000000 上午','dd-MON-yy hh:mi:ss....
js逆向案例
最新发布
05-19
以下是几个典型的 JavaScript 逆向工程案例及其分析。 --- #### 案例一:Ajax 请求中的 Token 动态生成机制解析 某些网站会在每次请求中动态生成一个 `token` 参数,防止 CSRF 攻击或其他安全威胁。这种情况下,...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IPQOQ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值