520小米抢购HTTP协议分析

作者: 大海 分类: 编程 发布时间: 2014-05-20 13:43 ė12,657 views 6Comments Off on 520小米抢购HTTP协议分析

首现是这次抢到的结果(看来我不适合做黄牛)

image

下面是整个过程的HTTP通信协议分析:

本次的选机页面是这个http://s1.mi.com/open/choosePhone.html

每个手机都有一个编号比如:、

note联通    2141800009

note 移动增强    2141800008

note 移动标准     2141200012

1s 移动 灰    2141600006

1s 联通 灰  2141600007

选择好你需要的手机,确认后会发送这个

image

可以看到即使是同一款手机,每次发送的信息中是有差别的,通过详细请求对比发现,请求内容中只有这一处地方不同,最后不同的地方可以发现明显的大小不同关系,所以判断不是那么随机生成的(应该是可以尝试批量提交的,这样抢购工具就有了)。

任取一条可以发现,执行了一次get请求,请求内容只有cookie,这里面记录了你的很多信息

image

 

然后看返回

image

返回数据就更少了,这大概就是小米能承受这么多人同时访问的原因之一吧。

 

终于在不断的尝试后出现个一个不同的返回结果

image

这个里面hdurl是有内容的,就是那个抢到的那个“1s 联通灰”,这个hdurl里包含似乎是一串随机数的东西,还有你的id,购买的产品的编号等一些内容。然后就可以选择手机了,再次发起了一次get请求。

image

这个请求最主要参数token就是你上一步获得的hdurl.

然后就是真正的请求购买地址了。这里没有携带任何参数(当然有cookie)

image

不知道可不可以直接越权访问到这里吆。

后面就真的是进行比较大的数据交换,进行购买了。

本次分析结束,个人猜测前面的过程无法跳过,因为要是这么简单的话大牛们早就发现了。

本文出自 纳百川,转载时请注明出处及相应链接。

本文永久链接: https://www.bicner.com/490.html

Ɣ回顶部