逆向工程Javascript背后的Google按钮

前端之家收集整理的这篇文章主要介绍了逆向工程Javascript背后的Google按钮前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我试图模拟谷歌按钮.在 LINK代码的某些部分,它将会话ID转换为某种哈希.我发现会话ID名称是SAPISID,转换后的哈希名称是SAPISIDHASH,任何人都可以告诉我代码的哪一部分哈希部分.任何帮助将不胜感激.我已经花了6个小时直,仍然没有线索:(

例如,VUOyLIU22fNPz2ko / AbGsxW03_WHoGjaJq是SAPISID,f17aa630b9b9a105dad437b0fedcafe429f6fca2是SAPISIDHASH.在PHP我尝试了所有类型的哈希..没有匹配.

解决方法

胜利!对我来说至少= p我正在寻找的SAPISIDHASH是api控制台中的那个.自动化相当大的工作,完全合法.

无论如何 – >我找到的是当前javascript毫秒时间戳上的SHA1加上你的cookie加上域当前的SAPISID

为了让我的请求工作,我必须在请求中包含以下标头
授权:SAPISIDHASH 1439879298823_< hidden sha1哈希值>

X-来源:HTTPS://console.developers.google.com

我假设的第一个标题告诉服务器你的时间戳和你的sha1值.第二个(如果不包括它则中断)告诉它在sha1算法中使用的原点.

我通过挖掘和调试大量的缩小的js找到了算法.注意值之间有空格

代码是基本的>

sha1(new Date().getTime()“”SAPISID“”origin)

这至少是我在2015年的用例中获得SAPISIDHASH价值的方式(几年后我知道)……与你的不同,但也许有一天我会帮助其他一些年轻的好黑客

猜你在找的JavaScript相关文章