所有接口都加一个动态参数，只能请求一次！有没有办法找到这个动态参数的生成方法！

hackrol · 发表于 2024-9-2 22:55

之前有抓包到一个软件的接口，最近所有post接口都增加了一个动态参数，有没有什么办法找到动态参数的生成方法？脱壳了，看了几天代码也没有找到！

devilpanama · 发表于 2024-9-4 00:05

目标都不发，分析空气么

hackrol · 发表于 2024-9-4 21:44

主要是咨询一下，有没有什么思路和方法！

张馆长 · 发表于 2024-9-7 15:04

sign签名，搜下

hackrol · 发表于 2024-9-8 09:56

?cYqa7dks=0gqrmjAlqEx7x8p.R11s7.wABOWoUHcGSSi.oO6iPWPZOXCsKXHL9EHlhwRas5u_jLW4n8i2nK.xbHNVDhfRi0dyH1Ws3XOiM
类似这样的，看着有点像jwt的token 但又不像。一般jwt是ey开头的

张馆长 · 发表于 2024-9-8 19:49

这种就是sign签名加密，你先搜下论坛里sign签名相关，参考下应用思路

alonestree · 发表于 2024-9-9 14:52

既然已经脱壳了，那么直接上frida，先hook java的http库，常见的就是okhttp，等hook住之后，再用frida打印出调用堆栈，倒推调用的逻辑

hackrol · 发表于 2024-9-11 22:21

还是没有办法找到！！！唉

hackrol · 发表于 2024-9-11 22:34

可以确定是h5的加密代码没有写在app中。。应该在js中。
有没有大神帮我看看，地址有效期很短，帮我看看

帐号		自动登录	找回密码
密码			注册[Register]

[Android 求助] 所有接口都加一个动态参数，只能请求一次！有没有办法找到这个动态参数的生成方法！