专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
目录
今天看啥  ›  专栏  ›  看雪学苑

sign参数分析

看雪学苑  · 公众号  · 互联网安全  · 2024-11-27 17:59
    

文章预览

接口参数定位 目标接口:搜索https://api.m.ooxx.com/client.action?functionId=search 版本:13.1.0 目标参数:body 中的 x-api-eid-token  和 sign 定位接口参数的方法 ◆搜索大发 ◆hook Hashmap ◆Hook StringBuilder 这里我们直接使用最朴素的搜索大法,一次就中。 继续跟踪,进最下面这个看看。 下面拼接了 urlEncodeUTF82  ,看英文就是一个 utf 编码之后的数据。继续向上跟踪 进入第一个,函数返回的是一个字符串。还不是加密的地方。 JDHttpTookit.getEngine().getSignatureHandlerImpl().signature 这就是签名函数。 接口函数一般是 implement 或者直接 new 出来。这里跟进 new 出来的 Hook 获取参数 通过 frida 获取传入的参数 主动调用,方便后续做测试 function call_by_java () { Java. perform ( function (){ let BitmapkitUtils = Java. use ( "com.ooxx.common.utils.BitmapkitUtils" ); let context = Java. use ( "android. ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览