V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hkiJava
V2EX  ›  问与答

不懂就问 关于抓包

  •  
  •   hkiJava · 2023-08-08 11:09:40 +08:00 · 1459 次点击
    这是一个创建于 480 天前的主题,其中的信息可能已经有所发展或是发生改变。

    算是小白吧 我所理解的所有提交表单请求 都是在页面收集用户的选择信息 最后生成订单之类的 既然能抓包 可否在提交订单的时候 获取到提交的接口 然后提前拼好参数包含个人信息 token 之类的 这样就可以快速的抢演唱会门票啊 或者一些秒杀了 这种想法是否行得通呢 求大佬指教 勿喷 谢谢

    17 条回复    2023-08-08 16:51:02 +08:00
    AreYou0k
        1
    AreYou0k  
       2023-08-08 11:14:49 +08:00
    可以,但是加密了你怎么破解人家的加密.
    hkiJava
        2
    hkiJava  
    OP
       2023-08-08 11:17:05 +08:00
    @AreYou0k 你是说提交表单 json 格式的参数吗
    s4d
        3
    s4d  
       2023-08-08 11:17:50 +08:00
    “token”每次提交后就变了
    AoEiuV020JP
        4
    AoEiuV020JP  
       2023-08-08 11:18:01 +08:00
    本来抢票软件就是这样做的, 效果比那种模拟点击的好很多,但前提就是要先破解协议知道怎么构造请求,
    hkiJava
        5
    hkiJava  
    OP
       2023-08-08 11:20:51 +08:00
    @s4d 以前用 python 自动化抢过演唱会门票 不过我那个时候是 cookie 我获取了 直接免登录了 这个我看短时间一直在有效期内
    hkiJava
        6
    hkiJava  
    OP
       2023-08-08 11:21:44 +08:00
    @AoEiuV020JP 类似 thor 这种抓包软件 捕获不到请求的接口吗
    0o0O0o0O0o
        7
    0o0O0o0O0o  
       2023-08-08 11:22:03 +08:00 via iPhone
    你的表述类似于把大象放进冰箱的步骤,事实上是 2023 年有抢购价值的网站/APP 多是混淆加密风控和送进监狱一条龙的对抗,不是没经验的人能快速上手的事情。
    hkiJava
        8
    hkiJava  
    OP
       2023-08-08 11:24:40 +08:00
    @0o0O0o0O0o 之前参与微信小程序贵州特产抢购 所以好奇了这个点 确实不可刑
    AreYou0k
        9
    AreYou0k  
       2023-08-08 11:26:54 +08:00
    @hkiJava #2 是的,当然不止这一种. 所以一般都用模拟点击抢, 直接跑接口少
    hkiJava
        10
    hkiJava  
    OP
       2023-08-08 11:27:59 +08:00
    @AreYou0k 那个频率快的话 是不是容易被风控 被限制
    me1onsoda
        11
    me1onsoda  
       2023-08-08 11:30:31 +08:00
    @hkiJava 表单参数通常带个签名 sign ,你知道这是什么规则吗?
    hkiJava
        12
    hkiJava  
    OP
       2023-08-08 11:32:27 +08:00
    @me1onsoda 所以我还是太 navy 了 那个 sign 是动态随机的是嘛
    streamrx
        13
    streamrx  
       2023-08-08 11:37:59 +08:00 via iPhone
    你抢不过的, 演唱会门票 茅台 鞋子 茶叶 nft 收藏品等等东西的抢购,都是无风险而且有确定性利润的东西 这个圈子已经是卷中卷了
    hkiJava
        14
    hkiJava  
    OP
       2023-08-08 11:41:14 +08:00
    @streamrx 嗯 肯定有大佬做这些事 只是不可能晒在阳光下
    vituralfuture
        15
    vituralfuture  
       2023-08-08 11:47:39 +08:00 via Android
    是可行的,但有些限制。网站开发的时候就会注意这些安全问题。列举几个常见的
    1. 前端用秘钥加密请求数据 这种情况就必须找到秘钥才能构造请求,好在前端 JS 是明文的,可以看 JS 代码逻辑
    2. 前端 JS 混淆 为了保护资产,前端的代码很有可能是混淆过的,也就是说变量名都失去了含义,而且还会给你来点类似 o=Math,o.max 之类的操作把你搞晕
    3. 表单隐藏域 为了防止 CSRF ,后端返回界面的时候可能会带一个表单的隐藏域,然后提交 表单都时候一起提交,如果后端接受到的表单中没有隐藏域或者隐藏域不是后端生成的,就会拒绝服务,不过可以用 selenium 这种库直接模拟用户操作浏览器,就能解决这个问题,还可以提前发起请求搞到隐藏域的值
    4. 承接上点,用 selenium 也是坑,前端可能检测 JS 运行环境,发现你在用无头浏览器或者用 selenium 操纵浏览器就会拒绝服务
    5. 用户登录 这应该是个大坑,具体我不了解,但是如果你不用 selenium ,登录是很难的。涉及到用户认证之类的。然而你用 selenium 也不见得简单,常见的问题就是各种检测你是不是机器人的东西,验证码,或者让你拖一个条,或者之类的。这个可以用计算机视觉的某些模型搞定,但是你自己做很麻烦,可以考虑有些公司提供的 api 接口帮你搞定验证码
    hkiJava
        16
    hkiJava  
    OP
       2023-08-08 11:51:28 +08:00
    @vituralfuture 感谢解答 selenium 我以前试过 用的自己账号抢购的演唱会 像一些名气不大的轻轻松松抢到 可是周杰伦的就不行 可能有很多原因吧 网速啊 加载啊什么的 也是太想原价买了 泪奔
    deng81416754
        17
    deng81416754  
       2023-08-08 16:51:02 +08:00
    可行的,逆向 app 你要想接口参数 抢购的都是加固混淆 ,而且一个系统对账号也是有风控体系的。大型抢购的项目 都要堆号
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2805 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:42 · PVG 20:42 · LAX 04:42 · JFK 07:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.