qq三国吧 关注:983,419贴子:58,916,644
  • 8回复贴,共1

QQ三国查询相关学习历程

只看楼主收藏回复

机缘巧合下,回归QQ三国,发现了QQ三国查询。由于本人恰好也重试相关工作,故将相关对QQ三国查询前端页面页面接口层,或者通过无头浏览器层进行数据查询的学习过程记录下来,相关代码也会进行放在gitlab上进行开源。
首先总结目前收集到的相关信息。
1. 利用QQ三国微信小程序进行接口数据构建的学习资源。
https://github.com/alienwu2018/Crack-QQSGSearch


IP属地:广东1楼2022-10-06 21:53回复

    这里以登陆请求为例子(适用于其他请求,例如登陆后,维持登陆态,发出的请求),可以看到,当浏览器发出HTTP请求的时候,HTTP的body需要三个重要的参数,clientGuid, clientTimestamp和sign,这三个参数通俗来说clientGuid是一个唯一标识符,可以理解成一个基本不会重复的字符串,clientTimestamp是当前时间戳,以秒为单位,sign其实是签名,具体的生成规则,如下面解析。
    Js相关的代码如下,未来会提交的github



    那有同学会问,这有啥作用,其实,很简单,假设我们需要用程序模拟登陆的话,我们带上账号,密码就完事了,当然,为了避免对方检测,我们需要消除掉爬虫的指纹,简单来说就是模仿得更像人,相关知识会在后面讲解,有兴趣的同学,可以先观察一下我们发送请求时的HTTP Header,带有哪些信息,可以尤其关注header中referer和user agent的值


    IP属地:广东2楼2022-10-07 02:24
    回复
      2025-08-30 19:25:49
      广告
      不感兴趣
      开通SVIP免广告
      其实这里,如果查询开发者如果没有对登陆接口做限流保护,那就很危险了。假设攻击者可以顺便伪造用户名和密码,以及通过上面的JS程序生成clientGuid, clientTimestamp和sign,就可以不停的访问查询开发者的数据库,这就很容易把查询开发者的数据库打崩。目前,观察到,查询开发者在前面加入了ngnix,该软件其实是可以进行限流的。在nignix的后面,就需要看查询的开发同学,是否还挡了一层redis(内存数据库)做缓存了。


      IP属地:广东3楼2022-10-07 02:36
      回复
        后面,每天都会更新一部分心得,供大家学习研究。


        IP属地:广东4楼2022-10-07 02:37
        回复
          好家伙


          IP属地:浙江来自Android客户端5楼2022-10-17 17:24
          回复
            方向错了…


            IP属地:河北来自iPhone客户端6楼2022-10-17 17:29
            回复
              大佬,插眼


              IP属地:江苏来自Android客户端8楼2022-10-18 10:27
              回复
                学习一哈


                IP属地:广东来自iPhone客户端9楼2022-10-19 02:11
                回复
                  2025-08-30 19:19:49
                  广告
                  不感兴趣
                  开通SVIP免广告
                  行不通啊大佬


                  IP属地:江苏10楼2022-10-20 15:16
                  回复