* 所有相关信息仅技术学习调研，不公开任何侵犯公司价值信息，若有侵犯，请联系删除

社区做了层客户端验签安全验证，限制恶意“攻击”，验证值：X-Request-Id

跟进分析安全算法逻辑  发现webpack打包，

webpack :

很棒的模块化，能处理各种包之间依赖关系，但是代码难懂，繁琐，调试学习体感相当不好，各种模块之间跳转，定位不知道具体跳到哪里。

疑问：一般[……]

阅读全文

* 所有相关信息仅技术学习调研，不公开任何侵犯公司价值信息，若有侵犯，请联系删除

尝试使身份失效后发现

随机生成一个arg1 ，通过arg1，混淆验签身份

调研过程

发现两层混淆

第一层很快可以实现

第二层做了定时等待，应该是为了非异步亦或是安全问题，第一轮无法验签，必须走第二轮，实现除了混淆中规中矩

重新测试，身份通过[……]

阅读全文

* 所有相关信息仅技术学习调研，不公开任何侵犯公司价值信息，若有侵犯，请联系删除

通过抓包直接获取了响应体，再模拟请求中尝试去cookie ，发现跳转访客验证

具体分析以后发现实际上是调用了incarnate，传入tid，最后获取到了访客认证后的标识

那么参数如何生成？ 再一次还原请求过程

过程了解后，复盘第一步由于失去身份，做了访客验证，从而调用j[……]

阅读全文