sign参数分析

看雪学苑 · 公众号 · 互联网安全 · 2024-11-27 17:59

文章预览

接口参数定位目标接口：搜索https://api.m.ooxx.com/client.action?functionId=search 版本：13.1.0 目标参数：body 中的 x-api-eid-token 和 sign 定位接口参数的方法 ◆搜索大发 ◆hook Hashmap ◆Hook StringBuilder 这里我们直接使用最朴素的搜索大法，一次就中。继续跟踪，进最下面这个看看。下面拼接了 urlEncodeUTF82 ，看英文就是一个 utf 编码之后的数据。继续向上跟踪进入第一个，函数返回的是一个字符串。还不是加密的地方。 JDHttpTookit.getEngine().getSignatureHandlerImpl().signature 这就是签名函数。接口函数一般是 implement 或者直接 new 出来。这里跟进 new 出来的 Hook 获取参数通过 frida 获取传入的参数主动调用，方便后续做测试 function call_by_java () { Java. perform ( function (){ let BitmapkitUtils = Java. use ( "com.ooxx.common.utils.BitmapkitUtils" ); let context = Java. use ( "android. ………………………………

原文地址：访问原文地址
快照地址：访问文章快照
总结与预览地址：访问总结与预览

分享到微博

推荐文章

正观新闻 · 北大“韦神”粉丝突破2千万，已有账号蹭流量带货......原央视主持人赵普喊话北大，关心韦东奕健康状况

6 小时前

网信浙江 · 人民网三评“开盒”之二：信息泄露要追查，严打！

7 小时前

网信内蒙古 · 中国网络法治发展报告（2024年）

昨天

安徽文明网 · 徽风皖韵扮靓网络空间

昨天

嘶吼专业版 · 勒索软件团伙越来越多地使用Skitnet开发后的恶意软件

2 天前

财经杂志 · 分拆上市降温，对赌协议背后资本如何退出？

1 年前

红队蓝军 · linux提权方法（下）

11 月前

大江网 · 福建福州突发山火！

4 月前