python登陆linkedin过程分析，及二次验证（一）

linkedin是一个比较大型的职场网站，含有很多国际公司，也是一家很有价值的网站，今天分析一下该网站的post登陆过程。

首先还是抓一下post登陆的数据包，看看有哪些字段

csrfToken:ajax:5233206234215235526session_key:18328496803ac:0sIdString:3e94e408-5471-47e1-bf8d-946a11fbf048controlId:d_checkpoint_lg_consumerLogin-login_submit_buttonparentPageKey:d_checkpoint_lg_consumerLoginpageInstance:urn:li:page:d_checkpoint_lg_consumerLogin;022xYDz9StGQM3vpve/2EA==trk:hb_signinsession_redirect:loginCsrfParam:2a6c638d-891b-4272-83a5-2a850d8d5c26_d:dsession_password:666666

然后逐个搜索关键字，惊喜的是关键字全在渲染后的html页面里面可以找到，也就是可以直接获得，密码也是文明

image

然后点击提交就悲剧了，需要邮箱验证。

image

并且根据以往的经验，这个网站的验证并不止邮箱一种，还有Google的图形验证，那我们先处理邮箱验证吧。

填写验证码后，再抓包，又发送了一个验证post，表单数据如下

csrfToken: ajax:0605486034548441629pageInstance: urn:li:page:d_checkpoint_ch_emailPinChallenge;jXMAE9cXRKyBPFA6PPtxrg==resendUrl: /checkpoint/challenge/resendchallengeId: AQEoJh5k70TbCAAAAWhHgF-inPnrXjbeguxlwmY809EKoNaJpi7uqIKCBU-9qjce36BUuli2BCI53yCypWbmpGJGV00Ai11riwlanguage: zh-CNdisplayTime: AgG68wmEwEL86AAAAWhHgGUkx1nBpyjb6xDv36J8mlPBGC7HUt6MSqgUgIxEEe4challengeSource: AgFDi4ylE8q4ngAAAWhHgGUwqEx4biaw8UM6r-YR4xgzIjH3gR8t3asNDhe0lHJurequestSubmissionId: AgFX0QVGk8cjAgAAAWhHgGU0nLWPRUZeJFeIxhmMtR8-Pejk3voSsQ5zGwejnRAqMkWohzJf4I_jX5kNVy3Jer7YJVyDAzutDGqXMgchallengeType: AgEVLiPtyVYMWQAAAWhHgGUs_uGA1eOazA5RQsiI6_qqEwYORaM74qOL1AchallengeData: AgFSHxZDbmJzFAAAAWhHgGUcS3eJP2vMi8HSv8OwiQFe0KrcoFpUyL8KwFAqHBypdzSevhHPa1DouDiDtvWD3yr-KdMR0-ADGlQMOP72failureRedirectUri: AgFfiH2faBzqoQAAAWhHgGU4aFXVAXa_dILm7voAWfpp31HbC-L7CTTMWFg0h7UOeILpi3q6pin: 874427

有了第一次经验，我们再看看源码里面是否有post表单中的信息，结果是很惊喜的。

image

验证表单的信息都在与渲染后的html源码里面找得到。

难道就这么简单？

当然不是，复制一个正常的headers信息去请求一下，返回的东西还不一样，究其原因在第一次请求中就携带有重要信息的cookie

image

那么问题来了，即使清理了浏览器的cookie第一次请求，都会携带cookie，并且其中有敏感信息，看来即使是明文传输也不是那么简单的。

今天大致清楚了流程，分析及其破解登陆将在下一篇讲解，感兴趣的朋友可以先试试。

ID：Python之战

|作|者|公(zhong)号:python之战

专注Python，专注于网络爬虫、RPA的学习-践行-总结

喜欢研究和分享技术瓶颈，欢迎关注

独学而无友,则孤陋而寡闻！