Lenn's Site

签名

作用：保证数据一致性在发送请求之前, 把url, 请求方式, 参数, 请求头, 随机字符串, 时间…混合在一起. 进行一个计算. 计算出来一个结果, 该过程被称为签名,把该结果随着请求一同发送给服务器(包括随机值, 时间)。此时, 服务器接收到的是url, 请求方式, 参数, 请求头, 随机字符

爬虫逆向前置知识

对称加密的逻辑：加密和解密的密钥相同；最常见的对称加密：AES、DES、3DES 加密；不需要研究加密算法，各个语言都有库。 python 的对称加密需要安装 pycryptodemo 库：pip install pycryptodemo 如果包文件夹是小写 c 改成大写就好了加密过程：

逆向实战爬虫

发送加密逆向这里可以查看发送的拦截器函数，打断点后刷新页面：在发送请求的拦截器函数里打断点，发现和发送参数里一样的 data 变量，找到处理 data 变量的两个步骤，分别打断点：进入对应的函数查看，并打断点，其实到这里就可以发现发送参数的加密过程了：

逆向前置知识爬虫

关于非堆成加密理论知识非对称加密：加密和解密使用的不是同一个秘钥，数据被篡改的可能性非常低注意：加密的秘钥是可以公开给任何人的 -> 公钥解密的秘钥是不能给任何人的 -> 私钥公钥和私钥是一起生成的，一对，不能分开生成网页端，逆向可能会看到的rsa加密逻辑： rsa的特征：10001/

逆向实战爬虫

逻辑分析请求数量上面是登录时发的所有请求，可以看出有三个主要的：获取时间（不知道干嘛的）登录获取验证码图片登录 url:https://user.wangxiao.cn/apis//login/passwordLogin 请求头如下，主要看cookie，有两个比较可疑，其他是百度和微信的

逆向实战爬虫

https://www.swguancha.com/home/city 可以清除的看到这里的发送没有加密，接受有加密。接收解密有枣没枣打三棒子，直接找

逆向实战爬虫

页面 url：https://ec.minmetals.com.cn/logonAction.do 逆向这里抓包到几个请求，其中有个 public，这个点进去才也得猜公钥，或者结合后面的猜。然后有个 by-lx-page，这个显然就是数据了。看到了 Promise.then，首先就要想到拦截器，

逆向前置知识爬虫

调用栈，很明显可以看到 jquery 的调用：源码特征： Ajax: { PostAPI: function(e, t, r, a) { if (!e) return ""; var n = window.location.proto

逆向前置知识爬虫

代码框架： var t = [o, undefined]; n = Promise.resolve(e); this.interceptors.request.forEach((function(e){ t.unshift(e.fulfilled, e.rejected) })), t =

爬虫逆向前置知识

JS 的混淆普通混淆 var obj = { "name":　"jiejie" } var func1 = function (){ // 这里将 s 混淆为asci码 return String.fromCharCode(115) + "trin"