2. 程式人生 > >京東post登陸引數js分析,驗證引數authcode的分析

京東post登陸引數js分析,驗證引數authcode的分析

阿新 發佈:2019-01-14

昨天分析了京東post登陸過程中遇到的引數,其中有兩個引數是需要分析的,一個是nloginpwd、一個是authcode,nloginpwd已經分析了他的加密方式,RSA加密,留了一個人複雜的引數authcode,並猜想這個引數和驗證相關。

在這裡插入圖片描述

今天跟進了一下,進一步落實這個引數確實和驗證相關,是滑塊驗證通過後伺服器返回的一個字串validate的值就等於authcode

在這裡插入圖片描述

而validate的值是來自下面的這個請求

d: 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~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
 

c: 46dc15b94c544579a928601f961b52d5
w: 278
appId: 1604ebb2287
scene: login
product: click-bind-suspend
e: QVNRWK7IV5KEEVWG7KFOUF5WLVWIPSTKKBR74XB5QAVFWOHZTSC5LNXWJFO2GZJ37DN7KCBSUJCX6WPJSQCP3Q4C2E
s: 436092799850651800
o: 183284961111
callback: jsonp_09418859233258243
d:應該是拖動滑塊的軌跡相關

appID:html是頁面中的一個引數

s:是載入js檔案中的sessionID

在這裡插入圖片描述

o:輸入的賬號

scene:一個固定欄位

product:一個固定欄位

c:是來自一個get請求中的challenge引數

在這裡插入圖片描述

要得到該引數又要發出一個get請求攜帶下面引數:

appId: 1604ebb2287
scene: login
product: click-bind-suspend
e: QVNRWK7IV5KEEVWG7KFOUF5WLVWIPSTKKBR74XB5QAVFWOHZTSC5LNXWJFO2GZJ37DN7KCBSUJCX6WPJSQCP3Q4C2E
 

callback: jsonp_05819908093612078

e:e引數是在請求challenge引數時候攜帶的引數,都是e,值相同。

到現在我們就清楚了獲得authcode引數所要攜帶的幾個欄位來源,這幾個欄位中還需繼續深入的是d(滑鼠軌跡生成)、e

在這裡插入圖片描述

找了好久也沒看到e從哪裡生成的,然後在開啟一個頁面在試試,結果發現e的值沒有改變,那我們可以把e作為一個固定值試試,是可以得到challenge引數的,剩下就只有軌跡引數的來源分析了。

在這裡插入圖片描述

軌跡引數準備在破解登陸驗證的時候在繼續深入,現在就到這裡了;post登陸的authcode引數,目前考慮下面兩個方式:正常情況不會出現滑塊驗證,那麼我們可以用抓包的固定值試試,或者直接傳一個空字元試試,目前尚未驗證。

ID:Python之戰

|作|者|公(zhong)號:python之戰

專注Python,專注於網路爬蟲、RPA的學習-踐行-總結

喜歡研究和分享技術瓶頸,歡迎關注

獨學而無友,則孤陋而寡聞!

相關推薦

京東post登陸引數js分析驗證引數authcode分析

昨天分析了京東post登陸過程中遇到的引數,其中有兩個引數是需要分析的,一個是nloginpwd、一個是authcode,nloginpwd已經分析了他的加密方式,RSA加密,留了一個人複雜的引數authcode,並猜想這個引數和驗證相關。 今天跟進了一下,進一步落實這個引數確實和

京東post登陸引數js分析密碼加密的RSA加密實現

老規矩先用錯誤資訊登陸一下抓一下包,看看有那些post欄位: uuid: cf0d4f92-c83b-451a-bc31-be4bf9c546a5eid: 5535JQZQ4ZUMHJEPDFQ7EIQIP4PRSWDLEXGJCVNFQRGNKOKGFFSFH

企業為什麼使用資料分析如何學習資料分析

現在很多企業都開始重視資料分析了,這是因為資料分析能夠給企業帶來很大的幫助。也正因為如此,很多人也開始疑惑資料分析師是怎麼學習的,對於這個問題大家都是比較關心的,下面就給大傢俱體解答一下這個問題。 首先給大家數一下企業為什麼使用資料分析。現在很多的企業都是傳統的貿易和生產型的企業。

APP資料分析到底是在分析什麼?

當下,逢運營必談資料分析,APP運營更是如此。資料分析的用意本不在於資料本身,而是要打造一個數據反饋閉環。收集資料,設計基礎資料指標,多維度交叉分析不同指標,以資料甄別問題,再反向作用產品,最終形成資料驅動產品設計的閉環。 從運營小白到產品經理,提到APP資料分析,必談DA

《BI那點兒事》三國資料分析系列——蜀漢五虎上將與魏五子良將武力分析絕對的經典分析

獻給廣大的三國愛好者們,希望喜歡三國的朋友一起討論,加深對傳奇三國時代的瞭解 資料分析基礎概念:集中趨勢分析是指在大量測評資料分佈中,測評資料向某點集中的情況。總體(population)是指客觀存在的,並在同一性質的基礎上結合起來的許多個別單位的整體,即具有某一特性的一類事物的全體,又叫母體或全域。簡單地

Rxjava2.x 原始碼分析Map操作符原始碼分析(二)

首先看一個小例子: Observable.create(new ObservableOnSubscribe<String>() { @Override public void subscribe(Observa

深度學習 14. 深度學習調參CNN引數調參各個引數理解和說明以及調整的要領。underfitting和overfitting的理解過擬合的解釋。

本文為原創文章轉載必須註明本文出處以及附上 本文地址超連結以及 博主部落格地址:http://blog.csdn.NET/qq_20259459  和 作者郵箱( [email prot

Spring的Controller請求方法中引數名匹配但是引數型別不同會報404

org.springframework.validation.BindException: org.springframework.validation.BeanPropertyBindingResult: 1 errors Field error in object 'merchantAppInfo' on

58同城post登陸引數分析典型的eval加密js案例

58同城的前端登陸js處理還有很有自己的特色的,藏匿了關鍵的js語句、同時混插了html原始碼和js,搜尋關鍵詞基本上都是html原始碼,但是還有事方法還原post引數的來源,下面我們一步步分析。 首先抓個post包看看有哪些引數 source: passport password

百度登陸POST引數分析password及其他欄位的js處理

首先F12填個登陸資訊,抓個包看看有些什麼收穫;在發出post之前後臺Ajax加了了兩個資料,如下 1.返回as、ts、tk三個欄位 jsonpCallbackb770({code: 0, data: {tk: "8016Kzycp+GQ3kI/uAoVvVOz/kiwN3Ur

登陸一個系統時前端js實現的驗證記住密碼等功能

con hold div plain class submit nts 設置 發生 記住密碼部分: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <meta

前後端分離。前端POST請求引數過長導致400錯誤解決辦法及分析

這兩天做好的功能要上線了。但是測試的時候忽然發現當POST提交資料量多大時,會導致後端報400錯誤。最開始以為瓶頸存在於tomcat,因為tomcat預設能接受的POST請求大小為2M,所以手動修改tomcat server.xml 檔案,將接受POST大小修改為不限制。

新浪微博PC端登陸js分析及Python實現微博post登陸

新浪微博的安全級別還是比較高,前端的資訊採用RSA非對稱加密方式,加密的內容處理過,不僅僅是使用者輸入的密碼,加密公鑰是實時請求而來。 首選抓個包瞧瞧: entry:weibogateway:1from:savestate:7qrcode_flag:falseuseticke

第一篇js表單驗證模板

scrip put func wrong lur ctype lan lang 執行 下面是對於一個email的表單驗證的基本模板<!DOCTYPE html><html lang="en"><head> <meta char

分析了100萬個搜索結果驗證了16個SEO優化的核心影響因素

百度 搜索引擎 谷歌 seo優化 搜索結果 盡管這篇文章分析的是谷歌,但是很多對於其他搜索引擎也同樣受用,不得不說的是在搜索技術上百度與谷歌的距離還是很遠,可能方向都放到賺錢去了吧,OK,讓我們開始吧!我們分析了100萬個搜索結果(SERP)來回的一下這個問題:究竟哪些因素是與搜索引擎在首

js正則驗證郵箱身份證

hang www. 嚴格模式 開始 驗證 mage 大小寫 模式 匹配 代碼片段 多項驗證 常用手機,郵箱,身份證驗證規則 /^1[3,4,5,7,8][0-9]{9}$/ /(\d{6})[1,2]([0-9]{10})(\d|x|X)$/ //[1

js 郵箱手機電話驗證

star n-2 urn cli ret tel sta tex str var mail=/^([a-zA-Z0-9_\.\-])+\@(([a-zA-Z0-9\-])+\.)+([a-zA-Z0-9]{2,4})+$/; var tel=/^(\d3,4|\d{3

node.js使用superagent實現模擬登陸功能(包含下載驗證碼功能)

ssa split 輸入 spa code ike utf RM lang superagent版本:3.8.3 樣例代碼: var process = require(‘process‘); var superagent = require(‘superagent‘);

Java學習總計(二十六)——JavaScript正則表達式Js表單驗證,原生js+css頁面時鐘

text 先來 helloword 郵箱 用戶名 就是 lac round 外部 一.JavaScript正則表達式1.exec檢索字符串中指定的值,返回找到的值,並確定其位置2.test檢索字符串中指定的值,返回true或false3.正則表達式對象的創建:(1)方式一:

JS正則驗證兩位小數驗證數字最簡單正則表達式大全

正則 d+ test this size code tex 保留 TE <h3>輸入完按回車後即可驗證!</h3> 正整數: <input type="text" size="20" onkeydown="if(event.keyCode