某网站X-Signature签名破解

最新推荐文章于 2025-03-04 09:19:18 发布
最新推荐文章于 2025-03-04 09:19:18 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 爬虫 js逆向 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42306041/article/details/127986854
版权
本文详细解析了一个网站中X-Signature签名的生成过程。通过全局搜索,定位到app.xxx.js,发现签名是对请求参数进行特定操作。深入分析后,揭示了签名是基于参数排序后的MD5加密,并提供了JavaScript补全函数的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网站地址: aHR0cHM6Ly9mc2UuYWdpbGVzdHVkaW8uY24= (b64解密)
先全局搜索X-Signature,跳转到app.xxx.js里,找到X-Signature,发现是对请求参数做了_操作,向上_为d
在这里插入图片描述
向上找d, d为一个函数,
在这里插入图片描述
跟到这里打印i值(“_platform=web,_ts=1669108721743,_versioin=0.2.5,keyword=火车,limit=12,page=1,”)是把参数按顺序进行拼接,到这里可看出 l()(i)为X-Signature,l函数就是重点了,跟到l()函数里
跳转到 chunk-lib.xxx.js里, 这里就需要进行一系列补函数了,

了解本专栏 订阅专栏 解锁全文 超级会员免费看
某小程序sign签名参数逆向分析
吴秋霖的博客
01-02 4105
小程序逆向分析某平台请求头sign签名参数加密
下载URL包含Signature和OSSAccessKeyId的实战代码
热门推荐
herosunly的博客
10-15 8万+
 今天给大家带来的文章是:下载URL包含Signature和OSSAccessKeyId的实战代码,希望对同学们有所帮助。 文章目录 1. 前言 2. 解决方案 2.1 操作步骤 2.2 实战代码
JS逆向:【硬干货】手把手实战X条_signature参数破解(上)
weixin_47202458的博客
05-26 2065
本文仅供学习交流使用,请勿用于商业用途或不正当行为 如果你实在要这样干,别TM找我背锅 另外,如果不小心侵犯到贵公司的隐私和权益 能不能不要抓我,我非常愿意被招安 这是本公众号的第一篇技术文章,会相对照顾刚接触JS逆向的同学,内容会稍显细致。 老规矩chrome浏览器F12启动开发者工具,打开某条首页,某条的下拉数据加载是ajax的,所以我们在network面板,直接查看XHR的请求,滚动页面后,能看到具体获取数据的请求,如图 请求参数中as、cp、_signature这三个参数的值是随机的,很明显我们今
JS逆向:【硬干货】手把手实战某条_signature参数破解(下)——WebSocket与JS函数
weixin_47202458的博客
05-27 2440
本文仅供学习交流使用,请勿用于商业用途或不正当行为 如果侵犯到贵公司的隐私或权益,请联系我立即删除 前两篇文章: js逆向:【硬干货】手把手实战某条_signature参数破解(上) js逆向:【硬干货】手把手实战某条_signature参数破解(中) 我们介绍了如何分析定位关键加密函数的位置,以及如何抠出需要的js代码 之前我提到需要将Index页面源代码里的init代码扣下来,现在又发现,其实没有init生成的值也能用,而且调试起来更简单,需要补的环境代码更少。 我们先将之前扣的代码里的init这部分代
js逆向-某某威客signature参数解密
最新发布
猿榜编程的博客
03-04 1592
该函数本质上就是生成一个随机字符串并截取字符串中的第3位到第8位,既然是个随机函数,所以该值取什么无所谓。有两处,第二处是个固定值不需要看,关注点在第一处。点进去看对应的代码,并打断点,重新登录,触发该断点。上图中显示的key和iv都是字节,想要看到字符串类型的话可以采用toString函数。参数明显是被加密过的,接下来就是去寻找加密的过程。一切加密过程都知道了,把相关代码复制,完整代码如下。变量,第三个键值对中的值是个定值。是个字典,第一个键值对中的值就是。变量,第二个键值对中的值就是。
最新某条_signature破解
weixin_42531807的博客
05-16 5941
今天给大家带来某头条的_signature签名破解。 目标URL: aHR0cHM6Ly93d3cudG91dGlhby5jb20v 用base64解密得到。 图1-1 在推荐模块,这就是我们想要抓取的内容,X条的是下拉XHR请求,所以……抓包看一下吧。 抓包分析 因为是XHR异步请求,所以在抓包的时候将XHR请求过滤出来。当下拉加载触发后,可以看到请求列表中只有一条请求。 图2-1 我们观察发现此请求的response正是我们想要抓取的结果。 再来看一看请求参数..
JS逆向:手把手实战某条 _signature 参数破解——WebSocket
qq_1984964136的博客
06-23 1010
websocket signature
某上市企业产品应用存在signature签名破解
曲终人散
01-07 591
某上市企业产品应用存在signature签名破解 废话都不说,直接干货走起 漏洞影响面:直接影响好几千万该企业用户账户 说明:牵扯到厂商敏感问题,关键信息打码及省略,文章主要提供挖洞思路,大佬绕过,小白可以学习下 1、进入应用的更换密码设置页面,任意设置6位密码 2、通过报文发现敏感参数,利用repeater更改此参数看是否成功,从下面信息得知有sign校验、...
Web开发之编码与解码、签名、加密与解密
Summer like
05-11 784
 在Web开发中,编码与解码、签名、加密与解密是非常常见的问题。本文不会介绍具体实例,而是介绍这些的原理、用途与区别。 一、编码与解码         在Web开发中,需要通过URL的query参数来传递数据,但是对于URL来说,有些字符是不安全的,所以需要对此进行编码。常见的编码方式有Base64,关于Base64的详细信息可以参见这里。但是Base64中有+这种对于URL不安全的字符
JS逆向:实战X瓜视频_signature参数破解
weixin_47202458的博客
05-26 3941
JS逆向:实战X瓜视频_signature参数破解 本文仅供学习交流使用,请勿用于商业用途或不正当行为 如果侵犯到贵公司的隐私或权益,请联系我立即删除 打开X瓜视频首页,F12,在XHR,我们根据通过分析响应能够找到对应的请求 定位到请求之后,我们去看一下请求需要的参数 很明显,头条系产品,加密参数都是_signature 全局搜索_signature 一下子就找到了 简单分析下代码: _signature为a的值 而 a = (0,n(679).sign)(t); 可以理解为a = n(679).
某A系电商App x-sign签名分析
WLANQY的博客
02-04 525
我们找到了最接近的jave层的接口,也找到了so中对应的函数,但是要继续分析这个so还是需要费不少功夫的。frida提示找不到类的时候不要慌,遍历大法好。TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去奋飞的朋友们知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx:fenfei331讨论下。关注微信公众号:奋飞安全,最新技术干货实时推送。
XSign.java
11-03
手机淘宝x-sign源码,关于如何获取x-sign的代码,详情请查看博客 https://blog.youkuaiyun.com/Colinasd/article/details/102881853
某音_signature参数破解及实时弹幕抓取
qq_41721353的博客
11-26 5962
某音_signature参数破解及实时弹幕抓取
fse签名X-signature
李玺
09-16 1953
案例内容:fse搜索接口的签名X-signature
wukong问答_signature参数解密
骑猪游四方的博客
12-23 3239
wukong问答网站里的_signature参数解密详解 提示:这个参数加密用到了webpack打包的相关知识 ### 一、首先通过搜索定位法,来找到参数的关键加密位置。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20201223170911995.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpdTE
php signature解密,openssl RSA非对称加密、解密、签名、验签
weixin_36327991的博客
03-21 549
需要先了解的openssl系列函数openssl_pkey_get_private 从证书中解析获取私钥,以供使用。成功,返回真实的密钥资源标识符(Resource ID),否则返回falseopenssl_pkey_get_public 从证书中解析获取公钥,以供使用。成功,返回真实的密钥资源标识符(Resource ID),否则返回falseopenssl_private_encrypt($d...
zsxq x-signature 生成
wgnms的博客
08-02 260
仅供学习用 请联系删除。
hbuilderx发布网站
05-30
HBuilderX是一个基于Electron的跨平台开发工具,主要用于Web和移动应用程序的开发。它本身并没有提供发布网站的功能,但您可以通过HBuilderX将您的网站打包成一个Web应用程序,在各个平台上进行发布和使用。您可以使用HBuilderX中的构建工具,将您的网站打包成一个可以在浏览器中运行的应用程序,并将其部署到您的服务器上。您还可以使用HBuilderX中的调试工具,来测试和调试您的Web应用程序。如果您需要进一步的帮助,可以参考HBuilderX的官方文档,或者在社区中寻求帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

死磕呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值