热门推荐:带字头像姐妹头像霸气头像伤感头像小清新长发头像超拽头像森系头像微信头像闺蜜头像扣扣头像
猜你喜欢:男生网名女生网名超拽网名霸气网名唯美网名搞笑网名微信名字励志网名古风网名文艺网名带符号网名非主流网名小清新网名幸福网名
Q友地带 > 日志 > 情感 > 【passport.baidu.com】百度登录加密协议分析(上)

【passport.baidu.com】百度登录加密协议分析(上)

归属:情感 来源:https://www.qzby.com 时间:2017-05-25

本周又和大家见面了,没什么特殊情况,一般是一周一篇原创。发布的时间基本上是在周末,平时还是比较忙碌的。最近在开发自己的博客,过段时间可以和大家分享开发博客中的技术点。如果大家想及时的和我交流的话,可以关注文章最后的微信公众号,这样我可以比较及时的知道大家的想法。

好了,废话不多说,咱们进入今天的主题,讲解一下前段时间做的百度登录加密协议分析,由于写的比较详细,篇幅有点多,所以就分为上下两篇来写。由于百度登录使用的是同一套加密规则,所以这次就以百度云盘的登录为例进行分析。

第一部分:

首先打开firebug,访问http://yun.baidu.com/,监听网络数据。

【passport.baidu.com】百度登录加密协议分析(上)

流程:
      1.输入账号和密码,点击登录。
      2.点击登录。(第一次post,这时候会出现验证码)
      3.会出现验证码,输入验证码,
      4.最后点击登录成功上线。(第二次post登录成功)

根据以往的分析经验,一般需要进行两次登录,来比较post请求出去的数据,哪些字段是不变的,哪些字段是动态改变的。同样上述的流程,这次也会重复一次。将两次登录过程中产生的post请求保存下来。

在一次成功的登录过程中,我们需要点击两次登录按钮,也就出现了两次post请求

【passport.baidu.com】百度登录加密协议分析(上)

咱们先关注最后一次post的请求内容。

【passport.baidu.com】百度登录加密协议分析(上)

这个时候从账号登出,清除cookie信息,再进行一次登录过程,再把post出去的数据,记录下来,进行比较哪些是变化的。

 通过两次的比较,我们可以发现:

  **apiver=v3**
  callback=parent.bd__pcbs__yqrows
  **charset=utf-8**
  codestring=jxGa206f4ef6540e2a5023014affd01abcc160fde066101382d
  **countrycode=**
  **crypttype=12**
  **detect=1**
  **foreignusername=**
  gid=58DDBCC-672F-423D-9A02-688ACB9EB252
  **idc=**
  **isPhone=**
  **logLoginType=pc_loginBasic**
  **loginmerge=true**
  **logintype=basicLogin**
  **mem_pass=on**
   password
  **quick_user=0**
  rsakey=kvcQRN4WQS1varzZxXKnebLGKgZD5UcV
  **safeflg=0**
  **staticpage=http://yun.baidu.com/res/static/thirdparty/pass_v3_jump.html**
  **subpro=netdisk_web**
  token=69a056f475fc955dc16215ab66a985af
  **tpl=netdisk**
  tt=1469844379327
  **u=http://yun.baidu.com/**
  username
  verifycode=1112

   其中标有*的字段都是不变化的,其他都是变化的。

  接着看一下变化的字段:

    callback 不清楚是什么
    codestring 不清楚是什么
    gid 一个生成的ID号
    password 加密后的密码
    ppui_logintime 时间,不知道有没有用
    rsakey RSA加密的密钥(可以推断出密码肯定是经过了RSA加密)
    token 访问令牌
    **tt 时间戳**
    **verifycode 验证码**
网站地图
Copyright © 2013-2021 Qzby.Com - Q友地带