推荐关注
› Meteor
› JSLint - a JavaScript code quality tool
› jsFiddle
› D3.js
› WebStorm
推荐书目
› JavaScript 权威指南第 5 版
› Closure: The Definitive Guide
› Closure: The Definitive Guide
这是一个创建于 1282 天前的主题,其中的信息可能已经有所发展或是发生改变。
大噶好, 受到 git 上 自动签到脚本的一众大神的启发,自己也想写个网易大神 app 的游戏圈的签到,抓取之后 拿到请求头 遇到了如下困境: 参数中 gl-checksum, gl-nonce, gl-token 完全没有头绪是怎么来的,nonce 参数查了一下可能是关于时间戳的加密,完整的抓包数据也没搜到 token 和 checksum 是咋来的(之前的请求没有返回这个),而且两次抓包过程,这三个参数都是不一样的
大家有啥奇思妙招,给出出主意,我都试一下,一旦成功了呢
------请求头 部分参数----------
Host: god-welfare.gameyw.netease.com
Connection: keep-alive
GL-Uid: 283c5b05084e47e1a2c4a95f90ee6762
Accept: /
GL-CheckSum: f14750b8699e83ebed7b7d95c961847d171486ab
GL-Version: 3.1.2
GL-Source: URS
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
GL-Nonce: A1C107D0-5658-46B1-8573-7E58E2D853DF
Content-Length: 94
GL-ClientType: 51
GL-CurTime: 1620715310754
GL-ActiveSquareId: 5bed3a66d5456863cff33f8a
GL-Token: a4f3fa2550e7484c94ec53e979e99f2b
 |
1
uTOmOuk3L6sb4MSI 2021-05-12 14:23:36 +08:00 via iPhone
难,网易还有防人机,有的 api 动不动就得手机验证。
|
 |
2
no1xsyzy 2021-05-12 15:22:50 +08:00
nonce 这个名字暗示了这个数字很可能是从另一次请求中获取的。
能翻源码翻源码,不能的话就放弃解包转模拟吧。 |
 |
3
umissthestars 2021-05-12 15:34:48 +08:00
一旦成功了,我是不是就背上了法律风险
|
 |
4
luckyzuck 2021-05-12 15:36:15 +08:00
之前为了 yys 签到也研究过,发现都是动态变化的,就放弃了
|
 |
5
Doracis OP @ODD10 是呀之前只觉得安全性高,现在自己搞了发现加密左一层右一层,玩不转了。。
@no1xsyzy nonce 我查的有一篇 https://www.cnblogs.com/mymelody/p/7325325.html 感觉和这个思路挺接近的,因为请求头也带了 timestamp 数值,源码就不会玩了,这个 app 独占,想用网页版抓都没机会 TAT,模拟的话我是苹果全家桶,没安卓还挺难搞的。。 @umissthestars 老哥多虑了,也没攻击获利啥的,我就是想偷个懒,走走去罗马和骑摩托车去罗马 都一样~ @luckyzuck 我也问过脚本大佬,网易游戏这些个自动签到好像还真挺难搞的。。 谢谢楼上这几位哥了,我这真是,从入门到放弃。。 |
 |
6
RockShake 2021-05-13 08:45:09 +08:00
馊主意,用模拟器脚本吧
|
Select Language