最近运维部有人发现公司网站登录部分用户名和密码都是明文传输,领导一得知,这哪行,传输过程任一节点如果被人抓包分析,完全有可能存在盗号威胁。其实呢,这种几率很小,很多大网站像京东,人人网等都是类似明文传输,但是有时领导想法不一样,既然已知了,不解决心里总有点疙瘩。好了,言归正传,现讲新浪微博和腾讯微博的登录方式简单记录如下:
新浪微博:
1、
登录post请求提交前,先get 2个参数,servertime 和 nonce(随机生成但是只能使用一次)
get请求地址类似为:
http://login.sina.com.cn/sso/prelogin.php?entry=miniblog&callback=sinaSSOController.preloginCallBack&user=%22+username+%22&client=ssologin.js(v1.4.5)
2、用户名采用base64,密码采用rsa2,讲第一步获取的2个参数一起进行加密。(网上查了很多关于新浪登录部分资料,都说是采用三次sha1,现在新浪应该是变了,弃用sha1加密方式了)
代码如下:
e.servertime = a.servertime;
e.nonce = a.nonce;
e.pwencode = "rsa2";
e.rsakv = a.rsakv;
var f = new sinaSSOEncoder.RSAKey;
f.setPublic(a.rsaPubkey, "10001");
c = f.encrypt([a.servertime, a.nonce].join("\t") + "\n" + c)
3、post提交登录请求
post地址还是http://login.sina.com.cn/sso/login.php?client=ssologin.js(v1.4.5)
post参数为:(chrome工具查看)
entry:weibo
gateway:1
from:
savestate:7
useticket:1
pagerefer:
vsnf:1
su:d3FzdDg1MTAlNDBnbWFpbC5jb20=
service:miniblog
servertime:1364705675
nonce:9URUVH
pwencode:rsa2
rsakv:1330428213
sp:252440fd8be3125f36633998a82c52e0bf81d9e7420a3ffb58cb280a311432e5e92723b82180f30b5e18c038d0c2b0d0cbe97b345cdd8e1a66346d26204d9bb1337567d38b3e4968be80e52459e604f2e796f5051f6581a481278fd5d6ded254d57d6173977cd7ba81881e22c6f2df30c52c4cfcbb073e9cb4458d173338ea32
encoding:UTF-8
prelt:68
url:http://weibo.com/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack
returntype:META
二、腾讯微博
1、先从服务器获取参数
地址为:http://check.ptlogin2.qq.com/check
返回为一个js代码
如:ptui_checkVC('0','!GXC','\x00\x00\x00\x00\x1a\x51\xb8\xf0');
其中第二参数随即生成且只用一次(和新浪的nonce差不多)。
2、利用第一步的结果对密码加密。
加密算法采用三次sha1.代码类似如下:
function getEncryption(password, uin, vcode) {
var str1 = hexchar2bin(md5(password));
var str2 = md5(str1 + uin);
var str3 = md5(str2 + vcode.toUpperCase());
return str3
}
3、get方式提交登录请求。
综上新浪和腾讯,其实他们采用的原理大同小异,无非是先从服务器取随机数,
然后将随机和密码一起加密,再传给服务器。
另外贴出我参考的文章地址:
新浪:
http://www.douban.com/note/201767245/
http://cpszgy.iteye.com/blog/1151802
腾讯:
http://duoerbasilu.iteye.com/blog/1611180
分享到:
相关推荐
微博市场竞品分析报告 微博市场竞争分析报告是对腾讯微博和新浪微博两大微博平台的竞争分析报告。报告对两大平台的用户规模、活跃用户规模、功能设计、用户体验、核心竞争力等方面进行了详细的分析和比较。 一、...
毕业设计项目“基于微博情感分析系统”是一个综合运用Python编程语言和机器学习算法来实现的项目,主要目标是对微博文本进行情感分析,以理解用户的情绪倾向。以下将详细阐述该项目涉及的知识点: 一、微博数据获取...
总结来说,这个基于Python的微博舆情分析系统涵盖了网络爬虫技术、数据库操作、文本处理、机器学习算法应用等多个方面,是一个综合性的项目,对于提升Python编程技能和理解大数据分析流程具有很高的实践价值。...
本文对新浪微博进行了深入的竞品分析,涵盖了分析目的、竞品简介、维度分析和分析总结等方面。通过对微博的分析,我们可以了解到微博在设计和实现过程中的亮点和不足,并提取有价值的灵感和参考,为本应用的设计提供...
总结,这个项目展示了从数据爬取到分析再到可视化的全过程,利用Python的强大工具,我们可以从微博这个信息宝库中挖掘有价值的数据,并以直观的形式呈现出来,为决策提供支持。在实际操作中,还需要不断优化爬虫策略...
通过对微博用户的语言处理分析,总结出网络用语习惯,纠正错误语法习惯,改善网络语言环境。同时,通过热点事件的发现与分析,了解社会舆论导向。 知识点: 1. 微博数据分析:微博数据分析是指对微博平台上的用户...
微博热搜情绪分析 微博热搜情绪分析是大数据项目实训的一部分,旨在掌握如何在大数据时代获取数据、清洗数据、计算和分析数据、对计算结果进行可视化展示。这个项目涉及到多个方面,包括数据获取、数据来源及构成、...
"基于深度学习的微博情感分析" 本文主要探讨利用深度学习来进行中文...总结来说,本文提出了基于深度学习的微博情感分析方法,该方法可以捕获文本中的情感特征和关联性,避免传统方法的缺陷,并具有广泛的应用前景。
最后,文章总结了基于词典和机器学习的藏文微博情感分析方法的优点和缺点,并提出了未来的研究方向。该方法可以为藏文微博的情感分析提供一个有力的工具,可以帮助人们更好地了解藏族人在微博平台上的情感表达。 ...
总的来说,逆向新浪微博的登录验证涉及到网络通信的解析、应用代码的分析、数据的提取和模拟登录等多个环节,需要对Android系统、网络编程、加密算法以及逆向工程有深入的理解。这是一个复杂的过程,但也是提升技能...
"基于词典与机器学习的中文微博情感分析" 本文主要介绍了基于词典与机器学习的中文微博情感分析方法。随着社交媒体的普及,微博作为社交媒体平台之一,已经拥有了3.5亿用户,并且还在不断增长。微博的情感分析是指...
新媒体数据分析中的微博数据分析是一项至关重要的技能,特别是在中国这样一个拥有庞大微博用户基础的市场环境中。微博不仅是中国最受欢迎的社交平台之一,也是企业和品牌了解消费者、优化营销策略的重要渠道。接下来...
2011传驰微博营销总结分析报告.ppt
热点信息挖取是通过对微博用户的语言处理分析,总结出网络用语习惯,纠正错误语法习惯,改善网络语言环境。群众观点挖掘是通过对热点事件的发现与分析,了解社会舆论导向。 该论文的主要技术点包括: 1. 微博数据...
总结,基于Python的微博用户分析系统将整合多种技术和工具,实现对微博用户数据的高效分析,为各领域提供数据驱动的决策支持。它的设计与实现不仅提升了数据处理能力,也为后续类似项目的开发提供了参考和借鉴。
- **目的**:构建一个基于Python的数据分析项目,旨在通过对微博评论数据的情感分析,训练一个能够自动识别和分类评论情感类型的机器学习模型。 - **情感类别**:分为四大类——喜悦、愤怒、厌恶、低落。 #### 二、...
突发事件下微博用户的情感演化机理研究。疫情作为研究对象,确定突发事件和事件发生、爆发...使用贝叶斯线性回归方程分析网络用户情感变化趋势,建立微博用户情感演变的动态分析模型。总结舆情演化生命周期的划分结果。
#### 微博分析的应用领域及相关工具介绍 微博数据分析不仅限于情感分析,还包括客户特征分析、客户活跃度分析、竞争分析等多个方面。这些分析结果可以应用于品牌管理、客户服务、市场推广等多个业务场景中。常用的...
### Nutch 1.7 二次开发培训讲义之腾讯微博抓取分析 #### 一、概述 Nutch 是一个开源的网络爬虫项目,它提供了灵活的数据抓取能力,并支持二次开发定制功能。本篇培训讲义主要针对的是如何使用 Nutch 1.7 版本对...