手淘抓包、 x

手淘抓包、 x

第一次写博客，写得不好大家别见怪。因在一个技术群里，大家突然对某宝感兴趣起来，都特别好奇淘宝接口的签名算法，因此我就在这样的情况下跟着一起研究起来。我研究的步骤分为以下几步：

手淘抓包

一开始我试了很多种方式去抓包，比如kill sslping、借助xposed把ssl kill掉、安装https证书等，发现依然不能抓取到网络包。
最后我去反编译他的app，寻找他的网络协议。发现它的网络协议有个开关，可以去hook它的返回值，让它强制使用spdy协议。
例子中我使用的是frida去hook的。

var SwitchConfig = Java.use('mtopsdk.mtop.global.SwitchConfig');SwitchConfig.isGlobalSpdySwitchOpen.overload().implementation = function(){var ret = this.isGlobalSpdySwitchOpen.apply(this, arguments);console.log("\nisGlobalSpdySwitchOpenl "+ret)return false}

如下图

接口签名

抓包后发现它的签名计算主要是x-sign，因此我们需要解决x-sign签名的生成。
今天这一篇博客暂时就讲到这，希望大家关注我，我会在下一篇博客分享x-sign的算法生成原理。