Analyse des jetons de connexion à l'applet du centre commercial SM

Mobile 2023-07-16 04:27:39 views: null

A l'origine, il s'agit juste d'une connexion très simple, l'information clé est le Token, comme indiqué dans la ligne suivante :

{"MallID":1********,"IsFromWX":false,"Header":{"Token":"ukSA4P*************-sVk,16113"}}

Pendant le processus de capture de paquets, il m'est arrivé de jeter un coup d'œil à l'adresse source de ce jeton. Il a utilisé le code WeChat pour accéder à l'interface de connexion, puis a renvoyé le jeton. Je sens que ce jeton va changer tous les jours, donc je vais analyser d'où vient ce jeton.

Par divers moyens, obtenez l'URL principale du navigateur pour vous connecter et rechercher Token :

ca483883765f88e15d01ffa220f96e99.png

Comme il s'agit du code d'un petit programme, je suis allé directement sur app.js pour le trouver. C'était évident et presque certainement correct, car Token est défini dans l'en-tête, qui est le même que celui du début :

29042c61e8e7dd0db75b34f963cb69f9.png

Continuez ensuite à localiser _token, qui provient des deux fonctions ou résultats d'opération de getQueryString() et getCookie().

4b86e636666999563b3bbcbfd588db19.png

9e359ff3ccbf30a8dc254faea7347e7a.png

Définissez un point d'arrêt, entrez les deux fonctions séparément et constatez que le résultat de retour de getQueryString() est vide.

4c3f21b2aac3f72ce8a09360b91f692b.png

9f6d1ea7694c83c8b2d1e48d9242695a.png

Continuez à getCookie() pour voir :

0c3a30e358fbc95d21e8fe5d3d463802.png

f2396a8336a3e40d63fd9f66a01f8db6.png

Le code est assez simple. Cela signifie probablement retirer régulièrement le jeton du cookie, puis renvoyer la chaîne décodée. Le decodeURIComponent(arr[2]) à la ligne 442 décode principalement %2C en , (virgule), donc le jeton C'est ainsi que la virgule est née.

Les éléments suivants sont des expressions régulières et des cookies interceptés à titre de référence.

reg=/(^| )_token=([^;]*)(;|$)/
uid=98d29********5898a; _mid=*******; _st_baidu1****=var%20censusJs; _fullSite=pro***fig%3*** Hm_lvt_f285d*****e3af2c1cb405=1******816; _token=ukSA4P***********3XDB-sVk%2C16113; _uid=1*****47*7; _userInfo=mo******

La pratique a prouvé que le jeton ne change pas tous les jours, il est donc facile de capturer le paquet par vous-même, et ce n'est pas gênant.Découvrez le jeton et le MallID et remplissez-les dans le script et exécutez-le.

L'effet de course est comme ceci:

9f4fd0c6104b8188ee38bed20590f352.png

Réponse officielle du compte : SM  get

Remarque : pas nécessairement applicable à toutes les villes, autotest.

- Fin -

Des articles plus passionnants

Cliquez sur la carte de visite ci-dessous pour suivre 【Type occasionnellement code】

Allumez les petites fleurs 96c508f3bf18d6eb71a3a049db306fe7.gif pour faire savoir à plus de gens

Je suppose que tu aimes

Origine blog.csdn.net/a18065597272/article/details/130738152
conseillé
Classement
du quotidien
Plus
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(2)
2024-06-03(0)
2024-06-02(1)
2024-06-01(0)

Code World

© 2018 codetd.com