Android逆向-小红书签名x-b3-traceid,x-xray-traceid

shanel

某书在高版本添加了一些新签名，不过难度不大，适合新手入门学习，开始分析。

• 抓包
  

            

         

• 使用的抓包工具是charles，window推荐使用fillder抓包；
• 可以发现相比于之前版本，签名添加了x-b3-traceid，x-xray-traceid；
  

• 反编译APK
  

               把小红书APK拖到jadx-gui中进行反编译并搜索两个字段值，如下：
               
               可以发现搜索就能直接找到这两个字段值，那么它大概率就是在java层中生成的，双击代码查看具体逻辑:

            
            这里的代码逻辑就是判断header中的x-xray-traceid是否为空，如果是空的话，就通过

[Java] 纯文本查看 复制代码

String format = String.format("%016x%016x", Arrays.copyOf(new Object[]{Long.valueOf(jArr[0]), Long.valueOf(jArr[1])}, 2));

来创建一个新的，那么，我们在本地代码实现如下：
            
             结果如下：
            

• 总结
  

这个相比较于其他签名比较简单，非常简单，甚至不需要使用frIDA进行动态调试，只需要根据代码逻辑就可实现，适合新手入门练习；

yyy2541

qywltx 发表于 2024-3-24 00:15
发出来就是一个笔记，点开一个链接，这个抓包没意义了

能抓包，能知道参数，剩下的就简单了，看参数，然后改参数，再沿用别人的方法去使用。
这个最开始就是可以直接发链接、后来弄卡片，卡片被和谐了好几次，上一次和谐，那些做卡片的就是通过一个下载接口做的跳转。

yyy2541

qywltx 发表于 2024-3-24 22:06
了解，我抓包实时看

难的是，你改了之后，如何发出去。这个你只能够等别人弄好，然后你想办法去模仿人家的。上一次和谐的是用下载链接，那么他只需要更换一个链接，就可以实现跳转。但是现在不清楚咋搞了。

BubbleC

萌新马上开始尝试√

doland

感谢分享

倾临雨落

感谢分享

西枫游戏

如果是服务器返回的 再进行操作 或加密 或md5    如果是本地生成的 并无任何规则的话 随机生成搞定

UmiSonada

感谢分享！！！！

qywltx

大佬，目前市面上有一种技术，小红书卡片，就是私信中，伪装成笔记分享给用户，点开确实自己放进去的网址，这个是怎么实现的？

shanel

qywltx 发表于 2024-3-11 16:03
大佬，目前市面上有一种技术，小红书卡片，就是私信中，伪装成笔记分享给用户，点开确实自己放进去的网址， ...

没了解过，不过很行

yinsel

都是大佬！分析得很详细！

Radish.

qywltx 发表于 2024-3-11 16:03
大佬，目前市面上有一种技术，小红书卡片，就是私信中，伪装成笔记分享给用户，点开确实自己放进去的网址， ...

这个已经和谐了  从服务端加了验证了  如果有链接就会发不出去