这是一个创建于 463 天前的主题,其中的信息可能已经有所发展或是发生改变。
算是小白吧 我所理解的所有提交表单请求 都是在页面收集用户的选择信息 最后生成订单之类的 既然能抓包 可否在提交订单的时候 获取到提交的接口 然后提前拼好参数包含个人信息 token 之类的 这样就可以快速的抢演唱会门票啊 或者一些秒杀了 这种想法是否行得通呢 求大佬指教 勿喷 谢谢
 |
1
AreYou0k 2023-08-08 11:14:49 +08:00
可以,但是加密了你怎么破解人家的加密.
|
 |
3
s4d 2023-08-08 11:17:50 +08:00
“token”每次提交后就变了
|
 |
4
AoEiuV020JP 2023-08-08 11:18:01 +08:00
本来抢票软件就是这样做的, 效果比那种模拟点击的好很多,但前提就是要先破解协议知道怎么构造请求,
|
 |
5
hkiJava OP @s4d 以前用 python 自动化抢过演唱会门票 不过我那个时候是 cookie 我获取了 直接免登录了 这个我看短时间一直在有效期内
|
|
6
hkiJava OP @AoEiuV020JP 类似 thor 这种抓包软件 捕获不到请求的接口吗
|
 |
7
0o0O0o0O0o 2023-08-08 11:22:03 +08:00 via iPhone
你的表述类似于把大象放进冰箱的步骤,事实上是 2023 年有抢购价值的网站/APP 多是混淆加密风控和送进监狱一条龙的对抗,不是没经验的人能快速上手的事情。
|
|
8
hkiJava OP @0o0O0o0O0o 之前参与微信小程序贵州特产抢购 所以好奇了这个点 确实不可刑
|
 |
13
streamrx 2023-08-08 11:37:59 +08:00 via iPhone
你抢不过的, 演唱会门票 茅台 鞋子 茶叶 nft 收藏品等等东西的抢购,都是无风险而且有确定性利润的东西 这个圈子已经是卷中卷了
|
 |
15
vituralfuture 2023-08-08 11:47:39 +08:00 via Android
是可行的,但有些限制。网站开发的时候就会注意这些安全问题。列举几个常见的
1. 前端用秘钥加密请求数据 这种情况就必须找到秘钥才能构造请求,好在前端 JS 是明文的,可以看 JS 代码逻辑 2. 前端 JS 混淆 为了保护资产,前端的代码很有可能是混淆过的,也就是说变量名都失去了含义,而且还会给你来点类似 o=Math,o.max 之类的操作把你搞晕 3. 表单隐藏域 为了防止 CSRF ,后端返回界面的时候可能会带一个表单的隐藏域,然后提交 表单都时候一起提交,如果后端接受到的表单中没有隐藏域或者隐藏域不是后端生成的,就会拒绝服务,不过可以用 selenium 这种库直接模拟用户操作浏览器,就能解决这个问题,还可以提前发起请求搞到隐藏域的值 4. 承接上点,用 selenium 也是坑,前端可能检测 JS 运行环境,发现你在用无头浏览器或者用 selenium 操纵浏览器就会拒绝服务 5. 用户登录 这应该是个大坑,具体我不了解,但是如果你不用 selenium ,登录是很难的。涉及到用户认证之类的。然而你用 selenium 也不见得简单,常见的问题就是各种检测你是不是机器人的东西,验证码,或者让你拖一个条,或者之类的。这个可以用计算机视觉的某些模型搞定,但是你自己做很麻烦,可以考虑有些公司提供的 api 接口帮你搞定验证码 |
|
16
hkiJava OP @vituralfuture 感谢解答 selenium 我以前试过 用的自己账号抢购的演唱会 像一些名气不大的轻轻松松抢到 可是周杰伦的就不行 可能有很多原因吧 网速啊 加载啊什么的 也是太想原价买了 泪奔
|
 |
17
deng81416754 2023-08-08 16:51:02 +08:00
可行的,逆向 app 你要想接口参数 抢购的都是加固混淆 ,而且一个系统对账号也是有风控体系的。大型抢购的项目 都要堆号
|
Select Language