qqzonetx云登录所用g_tkx-csrfcode获取
今天需要获取到txy的某个api接口,但是txy需要登录才能使用,需要g_tk/x-csrfcode,
这里简单介绍一下g_tk/x-csrfcode:
由于CSRF的本质在于攻击者欺骗用户去访问自己设置的地址,所以如果要求在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再运行CSRF攻击。这种数据通常是窗体中的一个数据项。服务器将其生成并附加在窗体中,其内容是一个伪随机数。当客户端通过窗体提交请求时,这个伪随机数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。
在我们通过登录后会返回一个skey
而g_tk/x-csrfcode的值是通过skey的计算出来的
g_tk/x-csrfcode的算法:
java:
1 | public class Security { |
JavaScript:
1 | function getGTK(str) { |
通过计算即可得出
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 shook!
评论
TwikooLivere