京东
未读
某东签名算法 jsvmp 插桩法的纯算还原《笔记》
本文系统分享了京东h5st签名算法中jsvmp插桩法的逆向还原流程。作者通过对老版本h5st代码的分析,结合jsvmp(JavaScript虚拟机保护)混淆技术,详细拆解了签名的关键环节,包括时间戳格式化、fp指纹、appId、动态及本地token加密、业务参数签名和env环境信息加密等核心模块。文中重点讲解了对京东魔改的MD5算法的还原思路,结合插桩调试分析了jsvmp虚拟机执行流程和栈操作,揭示了加密数据处理的内在逻辑,最终推导出分段求和后映射字符附加到明文的加盐逻辑。作者强调逆向经验积累和对加密算法特征的敏感性是理解流程的关键。文章还分享了请求接口时需注意的token、tls指纹、请求头、cookie验证等安全点,提醒开发者合法使用,避免触发京东安全机制。全文旨在经验分享,不提供完整工具,帮助研究者理解h5st加密签名机制。
京东
未读
京东H5ST算法接口
京东H5ST算法逆向接口,目前已支持H5ST4.2.0,H5ST4.3.1,H5ST4.3.3,H5ST4.4.0,H5ST4.7.1,H5ST4.7.2,H5ST4.7.3,H5ST4.7.4,H5ST4.8.1,H5ST4.8.2,H5ST4.9.1,XCX3.1.0,XCX4.2.0,XCX4.7.1,XCX4.9.1
逆向
未读
PikPak网盘刷邀请
本文作者重新整理了PikPak注册流程的抓包与分析,重点攻克了新增的图形验证码校验环节。通过抓包和代码逆向,分析并复现了验证码的规则和验证逻辑,发现其实现相对简单,无混淆,滑块验证码位置由固定数组描述,验证请求体格式清晰。作者进一步解密了关键参数如`client_id`、`x-device-id`及新增的`devicesign`和`captcha_sign`的生成方案,利用SHA-1、MD5及特定盐值文件等方法实现参数签名。最终整理了完整的注册接口调用顺序,包括验证码获取与提交、注册以及邀请码激活,还补充了登录接口以避免邀请失效问题。文章配合实测代码和流程细节,提供了一个较为完整的自动化注册解决方案。相关脚本代码已开源发布于GitHub,便于开发者参考和使用。