网易大神 app 自动签到 js 脚本求助

2021-05-12 14:04:27 +08:00
 Doracis

大噶好, 受到 git 上 自动签到脚本的一众大神的启发,自己也想写个网易大神 app 的游戏圈的签到,抓取之后 拿到请求头 遇到了如下困境: 参数中 gl-checksum, gl-nonce, gl-token 完全没有头绪是怎么来的,nonce 参数查了一下可能是关于时间戳的加密,完整的抓包数据也没搜到 token 和 checksum 是咋来的(之前的请求没有返回这个),而且两次抓包过程,这三个参数都是不一样的

大家有啥奇思妙招,给出出主意,我都试一下,一旦成功了呢

------请求头 部分参数----------

Host: god-welfare.gameyw.netease.com

Connection: keep-alive

GL-Uid: 283c5b05084e47e1a2c4a95f90ee6762

Accept: /

GL-CheckSum: f14750b8699e83ebed7b7d95c961847d171486ab

GL-Version: 3.1.2

GL-Source: URS

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

GL-Nonce: A1C107D0-5658-46B1-8573-7E58E2D853DF

Content-Length: 94

GL-ClientType: 51

GL-CurTime: 1620715310754

GL-ActiveSquareId: 5bed3a66d5456863cff33f8a

GL-Token: a4f3fa2550e7484c94ec53e979e99f2b

2628 次点击
所在节点    JavaScript
6 条回复
uTOmOuk3L6sb4MSI
2021-05-12 14:23:36 +08:00
难,网易还有防人机,有的 api 动不动就得手机验证。
no1xsyzy
2021-05-12 15:22:50 +08:00
nonce 这个名字暗示了这个数字很可能是从另一次请求中获取的。
能翻源码翻源码,不能的话就放弃解包转模拟吧。
umissthestars
2021-05-12 15:34:48 +08:00
一旦成功了,我是不是就背上了法律风险
luckyzuck
2021-05-12 15:36:15 +08:00
之前为了 yys 签到也研究过,发现都是动态变化的,就放弃了
Doracis
2021-05-12 16:37:10 +08:00
@ODD10 是呀之前只觉得安全性高,现在自己搞了发现加密左一层右一层,玩不转了。。

@no1xsyzy nonce 我查的有一篇 https://www.cnblogs.com/mymelody/p/7325325.html 感觉和这个思路挺接近的,因为请求头也带了 timestamp 数值,源码就不会玩了,这个 app 独占,想用网页版抓都没机会 TAT,模拟的话我是苹果全家桶,没安卓还挺难搞的。。

@umissthestars 老哥多虑了,也没攻击获利啥的,我就是想偷个懒,走走去罗马和骑摩托车去罗马 都一样~

@luckyzuck 我也问过脚本大佬,网易游戏这些个自动签到好像还真挺难搞的。。

谢谢楼上这几位哥了,我这真是,从入门到放弃。。
RockShake
2021-05-13 08:45:09 +08:00
馊主意,用模拟器脚本吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/776472

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX