V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
ufan0
V2EX  ›  分享创造

通过网易云音乐分享链接找到分享用户主页

  •  4
     
  •   ufan0 · 2022-08-28 20:23:00 +08:00 · 5783 次点击
    这是一个创建于 823 天前的主题,其中的信息可能已经有所发展或是发生改变。

    曾经网易云音乐的音乐分享链接携带了用户明文 id ,可以直接通过拼接网址得到用户主页。

    前天发现网易云音乐似乎为这个举措在安全层面下了功夫加固了数据,好歹终于不是明文,研究一番下来发现却也和明文差不多,做了个工具直接直接解析用户主页,比较粗糙,仅仅能用而已,有需要的自取。

    https://findneteasecloudmusicuser.nclgclub.com/

    more: 作为非安全专业的同学也很想吐槽一下网易云音乐的用户 id 加密设计,出发点是好的,但是用点心噻。 这是一个拍拍脑袋就知道不合适的设计,代码 review 竟然也能过。不如给我个面试机让我试试。

    第 1 条附言  ·  2022-08-30 14:41:48 +08:00

    欢迎各位反馈使用中遇到的问题,我所能支持的测试场景有限,还是非常希望能够收到大家的反馈。

    30 条回复    2024-05-04 09:44:28 +08:00
    ufan0
        1
    ufan0  
    OP
       2022-08-28 20:25:51 +08:00   ❤️ 1
    话说上大学的时候,和女神关系更进一步的助力便是从她朋友圈得到了她的网易云音乐账号主页地址,分析她的音乐喜好......

    最后的结果就是和女神一起去各种音乐节啦~

    那时候还没有疫情,回忆满满都是美好~
    regent
        2
    regent  
       2022-08-28 21:00:42 +08:00
    谢谢,qq 音乐的也类似吗?能否也加入 qq 音乐的分析功能
    cydysm
        3
    cydysm  
       2022-08-28 21:01:52 +08:00 via iPhone
    这个从一开始到现在就是这样
    ufan0
        4
    ufan0  
    OP
       2022-08-28 21:07:50 +08:00 via iPhone
    @regent QQ 音乐没怎么用,sorry ,有机会我看看。
    ufan0
        5
    ufan0  
    OP
       2022-08-28 21:08:47 +08:00 via iPhone
    @cydysm 不是这样的,可以仔细对比看看,当前分享链接中是没有 userId 的。
    thinking80
        6
    thinking80  
       2022-08-28 21:17:38 +08:00
    桌面 wx 获取的是纯歌曲链接,op 是如何解析朋友圈分享的?
    fortree
        7
    fortree  
       2022-08-28 21:48:30 +08:00
    网易云音乐中,自己账号记录有某首歌的留评记录,但该首歌可能因为没版权原因下架了,还根据评论页回查该歌的歌名吗?这样可以去其他平台播放
    ufan0
        8
    ufan0  
    OP
       2022-08-28 21:54:59 +08:00
    @thinking80 #6 本质上其都只是同样的 url ,朋友圈你的你可以尝试转发至聊天窗口,打开后复制地址可以验证我说的场景。这个在工具页面也有提示的。
    ufan0
        9
    ufan0  
    OP
       2022-08-28 21:55:39 +08:00
    @fortree #7 抱歉,我没有经历过这样的场景,暂时帮不到你了。
    falsemask
        10
    falsemask  
       2022-08-28 22:46:23 +08:00
    想知道 op 的研究过程,不知道方不方便透露
    cydysm
        11
    cydysm  
       2022-08-29 00:04:04 +08:00 via iPhone
    @ufan0 哦哦 确实 好久没用网易云音乐了 不过没记错的话一开始就带 userid
    ufan0
        12
    ufan0  
    OP
       2022-08-29 11:11:59 +08:00
    @cydysm #11 你说的没错,确实是这样。


    @falsemask #10 分享多首音乐的链接,观察后发现 url 新增了一个曾经不存在的参数,并且对于同账号该值为不变,猜测这是用来定位用户的,urldecode 后推测加密类型,估计不会是非对称加密,想验证下自己的想法,看看大厂程序员会怎么处理这个逻辑。

    一顿捯饬花了挺久的,发现确实是对称加密,就有了这个工具。
    falsemask
        13
    falsemask  
       2022-08-29 12:23:06 +08:00
    @ufan0 这个我以前也发现过,最早是 userid 参数,后来是 uct 参数,我以为会服务端加密或者单向 hash
    regent
        14
    regent  
       2022-08-29 20:24:42 +08:00   ❤️ 1
    @ufan0 谢谢!
    thinking80
        15
    thinking80  
       2022-08-30 01:07:09 +08:00   ❤️ 1
    @ufan0 可能是 wx 版本不一样,实测是添加进收藏后再转发出去能获取到所需 url 。好工具,已分享!蟹蟹
    ufan0
        16
    ufan0  
    OP
       2022-08-30 09:49:12 +08:00
    @thinking80 #15 是的,新版微信无论是 android 端还是 iOS 端都有这个问题,收藏+转发可见 url ,更加暴力的做法便是直接在桌面端微信查看。

    谢谢你的认可,希望能帮到你。
    thinking80
        17
    thinking80  
       2022-08-31 09:32:57 +08:00
    @ufan0 op ,上面的网站进不去了
    ufan0
        18
    ufan0  
    OP
       2022-08-31 09:37:39 +08:00
    @thinking80 #17 昨天 cpu 被打满了,一堆 post 请求,晚上一直在告警。

    担心机器被封,我先调整下 Nginx 配置。

    不知是哪位长老显了神通。
    thinking80
        19
    thinking80  
       2022-08-31 09:46:52 +08:00
    @ufan0 soga ,我昨天推了一下,刚刚上去看了下超过 2000 人收藏关注了,op 的工具深得女性用户的喜爱啊
    ufan0
        20
    ufan0  
    OP
       2022-08-31 10:26:14 +08:00
    @thinking80 #19 感谢,想请问下指的是 Twitter 吗?有没有地址可以围观看下。

    现在看 nginx 日志还是有打向这个网址的无效请求,难搞。
    thinking80
        21
    thinking80  
       2022-08-31 10:40:54 +08:00 via Android   ❤️ 2
    @ufan0 http://xhslink.com/gpeNij ,这种类型的工具放 xhs 最合适了,方便抓渣男。如果有闲情还可以持续完善下,如之前的收藏依然是使用原始的方法通过 id 获取主页,以及支持更多的渠道,像微博等。甚至你有空还可以搭个公众号有机会屯一波私域流量(用户发送链接-自动匹配解析方案)。
    ufan0
        22
    ufan0  
    OP
       2022-08-31 11:45:52 +08:00 via iPhone
    @thinking80 感谢建议,重新放上去了,已经支持旧版链接解析。

    对于做站做服务之类的还是不做了,风险收益不成正比。
    ufan0
        23
    ufan0  
    OP
       2022-08-31 11:58:30 +08:00 via iPhone
    @thinking80 看了这个链接。营销鬼才啊!封面图也做的高大上,老表厉害。
    thinking80
        24
    thinking80  
       2022-08-31 13:17:46 +08:00
    @ufan0 哈哈哈惭愧惭愧,期待 op 做出更多有趣的产品
    Talion
        25
    Talion  
       2022-11-04 23:44:16 +08:00
    怎么打不开了啊
    ufan0
        26
    ufan0  
    OP
       2022-11-09 14:28:16 +08:00
    @Talion #25 被攻击我就下架了,刚刚重启了。
    Talion
        27
    Talion  
       2022-11-09 17:08:04 +08:00   ❤️ 1
    好像不行了,现在朋友圈的链接从 uct 变成了 uct2 ,dlt=2048 变成了 dlt=0846
    ufan0
        28
    ufan0  
    OP
       2022-12-07 22:05:23 +08:00 via iPhone
    @Talion 已经更新,现在可以解析最新的地址了。
    ufan0
        29
    ufan0  
    OP
       2023-10-24 11:21:37 +08:00 via iPhone
    @regent 已经支持 QQ 音乐🎵
    hesicheng20
        30
    hesicheng20  
       208 天前
    谢谢你开发的工具!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1372 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 17:38 · PVG 01:38 · LAX 09:38 · JFK 12:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.