某鱼、某宝 sign 签名算法分析记录
【作者主页】:小鱼神1024
【知识星球】:小鱼神的逆向编程圈
【擅长领域】:JS逆向、小程序逆向、AST还原、验证码突防、Python开发、浏览器插件开发、React前端开发、NestJS后端开发等等
本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!若有侵权,请联系作者立即删除!
前言
今天不忙,分析一下某鱼、某宝的 sign 签名算法,记录一下。
前置分析
在请求参数中,发现有 sign 参数,如下:
如果请求不携带 sign, 会提示:{"api":"mtop.taobao.idlehome.home.webpc.feed","data":{},"ret":["FAIL_SYS_ILLEGAL_ACCESS::非法请求"],"v":"1.0"}
逆向分析
通过全局搜索 sign 关键字,找到 sign 参数的生成位置,如下:
打个断点,重新请求,如下:
发现 sign 参数是 i(d.token + "&" + j + "&" + h + "&" + c.data) 得到的。
其中 token 是来自 cookie 中的 _m_h5_tk, j 是时间戳,h 是 appKey 为定值,data 是请求参数。
那么 i 函数应该就是 sign 的生成函数了,如下:
将其扣下来。如下:
其中固定时间戳,经过对比,发现 sign 签名和网站上的 sign 签名一致。
相关的js会放到知识星球里,仅供交流学习使用,有需要的自取!
参数验证
写个小例子,验证下生成的参数是否正确,如下:
搞定!!
如果还有什么疑问,请在知识星球里留言。