W3school
js加密,解密
抓包分析找数据(关键字:password、MD5、RSA、encrypt)
断点调试,扣代码(点链接,跳到加密函数,把函数抠出来,用JS调试工具加解密)
get请求头
User_Agent和Accept_Encoding比较重要
post请求头
Ctrl+K批量屏蔽
Ctrl+M取消屏蔽
抓包:
1、开始页面的包
2、发送验证码的包
3、注册的包
4、图形验证码识别:
获取验证码的包,先测试是否可以免码
(base64类型的图形验证码,json解码后取data值,联众打码选择base64)
(图片加密类:)
5、滑块的识别:
抓包获取特征码,然后提交给识别平台(有的需要二次验证)
6、极验滑块
值(gt和challenge不是固定的)
(valldate、gee_challenge是返回值)
抓不到值得包时,就去抓首页的包
UI
模拟器安卓抓包
APP抓不到包
1、就去找老版本
2、httpcanary工具,可以在模拟器抓包
3、APP在模拟器上闪退,打不开(APP做了模拟器检测),可以用root的手机抓包
模拟器和抓包工具的IP和端口要一致
换IP
1、服务器主动捕捉IP,用讯代理
2、服务器被动获取IP,用虚拟IP(放在协议头里q)
伪装IP固定协议头
