用户
搜索

点我链接上你账户案例之截获秘钥

2019-1-10 11:27| 发布者: 小i| 查看: 119| 评论: 0|原作者: 诚殷网络论坛

首先我们来看看这个案例,我感觉是比较简单易懂的。分为A站与 B站

某网站有一个在线课堂的功能点




在这里呢当我们点击之后跳转到以下链接

     
[AppleScript] 纯文本查看 复制代码
http://www.打码.com/auth/Oauth/default.shtml?action=redirect&customerId=8acc0d81-c2a7-4912-a64e-a2c4cdc31966&callBackUrl=http://打码/api/pm/eduyunInter.json


其中customerid的参数应该是 customer member Id(客户会员ID)的缩写。

那么其中后面的参数值代表的就是我们在A站的账户ID。

上面的链接被访问完毕后会生成一个token值


可以看到这个数据包过后会跳转至:http://123.123.123.123/api/pm/ed ... 63440ad4948fc44dd06

其中的token参数值为 我们上一个链接生成的令牌,该令牌可以证明我们是XXX,也就是出国后所办理的护照含义,当

123.123.123.123这个站(B站)接收到了我们的token参数值会先效验是否合法,也就是是否是伪造的证件。




如果token值无效,那么就不会登陆成功账户。反之则登陆成功。


那么,如何劫持这个token?
小i,如果您要查看本帖隐藏内容请回复
鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋