1. 程式人生 > >京東post登陸引數js分析,驗證引數authcode的分析

京東post登陸引數js分析,驗證引數authcode的分析

昨天分析了京東post登陸過程中遇到的引數,其中有兩個引數是需要分析的,一個是nloginpwd、一個是authcode,nloginpwd已經分析了他的加密方式,RSA加密,留了一個人複雜的引數authcode,並猜想這個引數和驗證相關。

在這裡插入圖片描述

今天跟進了一下,進一步落實這個引數確實和驗證相關,是滑塊驗證通過後伺服器返回的一個字串validate的值就等於authcode

在這裡插入圖片描述

而validate的值是來自下面的這個請求

d: 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~101000000d1010000017101101000c101000000g101000000k102000000e101000000h102101000g101000000h102000000g101000000i102000000g103000000g101000000i101000000g101000000h101000000h101000000g101000000F101000000o101000000j101000000x002000002y003000000m002000000g002000000h003000000g001000000i003000000g001000000h003000000h003000000g003000000i003000000f003000000i003000000h003000000h001000000f003000000j002000000g002000000g001000000h002000000h001000000h001000000g000001000h001001000g002000000h002000000h001000000g002000000g003001000h002000000i003000000h001001000g002000000g002000000i002000000g001000000g001001000i001000000z101000003L101000000e101000000q101000000j101000000i101000000N1010000014101000007x101000000q101000000M101000000c101000000v101000000x101000000j101000000k101000000t101000000B101000000g101000000k101000000j101000000r101000000s101000000w101000000N1010000008101000000r101000000o101000000g101000000o101000000G101000008w1010000009001000001V002000000f004000000f003000000f005000000h003000000h002000000h003001000g004001000h002000000g003000000h003001000h005000000h003001000g005001000i003000000g004001000g002000000h003000000h002002000h001000000g001000000h101000004J101000000h101000000h101000000h101000000o1010000008101000000E101000000O101000000m102000000m101000000m000000004N

c: 46dc15b94c544579a928601f961b52d5
w: 278
appId: 1604ebb2287
scene: login
product: click-bind-suspend
e: QVNRWK7IV5KEEVWG7KFOUF5WLVWIPSTKKBR74XB5QAVFWOHZTSC5LNXWJFO2GZJ37DN7KCBSUJCX6WPJSQCP3Q4C2E
s: 436092799850651800
o: 183284961111
callback: jsonp_09418859233258243
d:應該是拖動滑塊的軌跡相關

appID:html是頁面中的一個引數

s:是載入js檔案中的sessionID

在這裡插入圖片描述

o:輸入的賬號

scene:一個固定欄位

product:一個固定欄位

c:是來自一個get請求中的challenge引數

在這裡插入圖片描述

要得到該引數又要發出一個get請求攜帶下面引數:

appId: 1604ebb2287
scene: login
product: click-bind-suspend
e: QVNRWK7IV5KEEVWG7KFOUF5WLVWIPSTKKBR74XB5QAVFWOHZTSC5LNXWJFO2GZJ37DN7KCBSUJCX6WPJSQCP3Q4C2E

callback: jsonp_05819908093612078

e:e引數是在請求challenge引數時候攜帶的引數,都是e,值相同。

到現在我們就清楚了獲得authcode引數所要攜帶的幾個欄位來源,這幾個欄位中還需繼續深入的是d(滑鼠軌跡生成)、e

在這裡插入圖片描述

找了好久也沒看到e從哪裡生成的,然後在開啟一個頁面在試試,結果發現e的值沒有改變,那我們可以把e作為一個固定值試試,是可以得到challenge引數的,剩下就只有軌跡引數的來源分析了。

在這裡插入圖片描述

軌跡引數準備在破解登陸驗證的時候在繼續深入,現在就到這裡了;post登陸的authcode引數,目前考慮下面兩個方式:正常情況不會出現滑塊驗證,那麼我們可以用抓包的固定值試試,或者直接傳一個空字元試試,目前尚未驗證。


ID:Python之戰

|作|者|公(zhong)號:python之戰

專注Python,專注於網路爬蟲、RPA的學習-踐行-總結

喜歡研究和分享技術瓶頸,歡迎關注

獨學而無友,則孤陋而寡聞!