百度登入演算法分析和實現(上 分析篇)

2021-07-11 12:36:01 字數 2206 閱讀 9254

分析工具:ie10、httpwatch

密碼演算法:rsa

難        度:★★☆☆☆

分析步驟:

②、包有了,開始搞吧,我們先看看最後的登入包:

看看裡面有幾個像是動態引數:gid、password、rsakey、token、tt,字面意思和值告訴我們,gid - 未知, password - 加密後的密碼, rsakey - rsa key,token - 登入令牌,tt - 時間戳,分析大致的意思讓分析思路更加明確,像這個tt我們基本不用管了。

③、我們先來找gid的值,複製gid的值在httpwatch裡面搜尋,看看在伺服器返回cookies裡面有沒有,結果……並沒有,所以這個值可能就是在客戶端生成的了,那就直接搜尋gid=,來到一處: ,看看裡面的**:

function()  else 

}

this.guiderandom = (function() ).touppercase()

})();

原來是個大忽悠,,這個值是隨機的,並且沒有任何動態引數參與運算,我們整理一下,不管他雖不隨機,我們保留吧:

function guid_random()

).touppercase();

}

好了,繼續下乙個引數,password,直接搜尋&password發現找不到,那就找找 password= 吧,還是定位 login_0a0d41f2.js ,我們看下關鍵**:

}看到這個基本就是一目了然了吧:

我們要提交的資料都在這個data裡,我們的密碼就是通過rsa一層之後escapesymbol ,找rsa簡單了,我們主要是找到rsa起始和結束點,提取出來,整理成乙個函式。

rsakey我們搜尋一下就能找到: 返回的,而這個url中也有個token,所以現在只要找到 token ,所有的問題就迎刃而解了,我們搜一下token的值,在 裡面找到了,是伺服器返回的。

這樣一來所有的引數都已經找到了,下篇文章我們來模擬整個登入過程。

百度分詞演算法分析

隨著搜尋經濟的崛起,人們開始越加關注全球各大搜尋引擎的效能 技術和日流量。作為企業,會根據搜尋引擎的知名度以及日流量來選擇是否要投放廣告等 作為普通網民,會根據搜尋引擎的效能和技術來選擇自己喜歡的引擎查詢資料 作為技術人員,會把有代表性的搜尋引擎作為研究物件。搜尋引擎經濟的崛起,又一次向人們證明了網...

百度XSS Worm 分析

css expression css表示式 可以在css中定義表示式 公式 來達到建立元素間屬性之間的聯絡等作用,從ie5開始支援,最後因為標準 效能 安全性等問題,微軟從ie8 beta2 開始取消對 css expression的支援。也就是說可以在css 後面插入一段js css的屬性值為其後...

面試分析(百度)

這是別人面試的題目,我自己無聊嘗試完成下 1.給乙個函式,返回0和1,概率為p和 1 p 請你實現乙個函式,使得返回0和1概率一樣。分析 該問題在左騰雲的書上有講過,思路一般利用乘和加數學方式完成,該題共分母 p 1 p 回答 設f x 為0 p 1 1 p p f x 為0 p 1 1 p 1 p...