背景:cmlink 的流量卡没有 APP ,准备写一个小工具每天推送剩余流量
这是 JS 的地址: https://www.cmlink.com/sg/js/lib/require.config.js?v=20210514
思路: 从 js 里发现了代码是通过 RSA public-key 加密的,已经可以通过构造 header 来进行登录,登录后会返回 token 来构造二次查询的 Header ,但是发现登录后查询的接口( GET )中有这样一个字符串:
/queryUsage?smsCodePublic=D114A2A4AD68F0F5DC3EE05F130CB1BCD3E241E9EF554F4F&ajaxSubmitType=get
类似的还有
/listTaxRates?smsCodePublic=270C8DD365D82B5041621209B8AD5E05ED5DD3860F1FF47C&ajaxSubmitType=get
本人对 JS 不太熟悉,详细看了 JS 也想不出来这是怎么产生的,想问下大家有什么思路吗?
1
crab 2022-03-12 16:11:25 +08:00
应该是这个 strEnc 加密函数吧,这边下个断点。
|
2
westoy 2022-03-12 16:20:55 +08:00
也许只是一个足够长的 event id 呢
我给用户做的免登录操作也是一个 eventid(UUID) data(json) expires_at 的表.......触发之后会根据 data 设置 session 和 redirect_url......... |