python登陆linkedin过程分析,及二次验证(一)

linkedin是一个比较大型的职场网站,含有很多国际公司,也是一家很有价值的网站,今天分析一下该网站的post登陆过程。

首先还是抓一下post登陆的数据包,看看有哪些字段

csrfToken:ajax:5233206234215235526session_key:18328496803ac:0sIdString:3e94e408-5471-47e1-bf8d-946a11fbf048controlId:d_checkpoint_lg_consumerLogin-login_submit_buttonparentPageKey:d_checkpoint_lg_consumerLoginpageInstance:urn:li:page:d_checkpoint_lg_consumerLogin;022xYDz9StGQM3vpve/2EA==trk:hb_signinsession_redirect:loginCsrfParam:2a6c638d-891b-4272-83a5-2a850d8d5c26_d:dsession_password:666666

然后逐个搜索关键字,惊喜的是关键字全在渲染后的html页面里面可以找到,也就是可以直接获得,密码也是文明

image

然后点击提交就悲剧了,需要邮箱验证。

image

并且根据以往的经验,这个网站的验证并不止邮箱一种,还有Google的图形验证,那我们先处理邮箱验证吧。

填写验证码后,再抓包,又发送了一个验证post,表单数据如下

csrfToken: ajax:0605486034548441629pageInstance: urn:li:page:d_checkpoint_ch_emailPinChallenge;jXMAE9cXRKyBPFA6PPtxrg==resendUrl: /checkpoint/challenge/resendchallengeId: AQEoJh5k70TbCAAAAWhHgF-inPnrXjbeguxlwmY809EKoNaJpi7uqIKCBU-9qjce36BUuli2BCI53yCypWbmpGJGV00Ai11riwlanguage: zh-CNdisplayTime: AgG68wmEwEL86AAAAWhHgGUkx1nBpyjb6xDv36J8mlPBGC7HUt6MSqgUgIxEEe4challengeSource: AgFDi4ylE8q4ngAAAWhHgGUwqEx4biaw8UM6r-YR4xgzIjH3gR8t3asNDhe0lHJurequestSubmissionId: AgFX0QVGk8cjAgAAAWhHgGU0nLWPRUZeJFeIxhmMtR8-Pejk3voSsQ5zGwejnRAqMkWohzJf4I_jX5kNVy3Jer7YJVyDAzutDGqXMgchallengeType: AgEVLiPtyVYMWQAAAWhHgGUs_uGA1eOazA5RQsiI6_qqEwYORaM74qOL1AchallengeData: AgFSHxZDbmJzFAAAAWhHgGUcS3eJP2vMi8HSv8OwiQFe0KrcoFpUyL8KwFAqHBypdzSevhHPa1DouDiDtvWD3yr-KdMR0-ADGlQMOP72failureRedirectUri: AgFfiH2faBzqoQAAAWhHgGU4aFXVAXa_dILm7voAWfpp31HbC-L7CTTMWFg0h7UOeILpi3q6pin: 874427

有了第一次经验,我们再看看源码里面是否有post表单中的信息,结果是很惊喜的。

image

验证表单的信息都在与渲染后的html源码里面找得到。

难道就这么简单?

当然不是,复制一个正常的headers信息去请求一下,返回的东西还不一样,究其原因在第一次请求中就携带有重要信息的cookie

image

那么问题来了,即使清理了浏览器的cookie第一次请求,都会携带cookie,并且其中有敏感信息,看来即使是明文传输也不是那么简单的。

今天大致清楚了流程,分析及其破解登陆将在下一篇讲解,感兴趣的朋友可以先试试。

ID:Python之战

|作|者|公(zhong)号:python之战

专注Python,专注于网络爬虫、RPA的学习-践行-总结

喜欢研究和分享技术瓶颈,欢迎关注

独学而无友,则孤陋而寡闻!

你可能感兴趣的:(python登陆linkedin过程分析,及二次验证(一))