目录

• 前言
• 记录
• • python对{'name':'anan','age':'18'}转换为json字符串
  • js对{'name':'anan','age':'18'}转换为json字符串
  • 比较结果
  • 处理方式
• 结语：

前言

做渗透测试发现前端关键字进行了加密，并且对传递的参数进行签名，这导致我不能进行更改参数的值，本来打算使用JSforward进行绕过，结果尝试失败（我终究还是太菜了），于是最终还是通过python来写加密方法进行测试。js签名方法已经找到了，是通过MD5进行签名，进行md5时会加入服务器发放的AES秘钥（密码由AES加密），并且秘钥为固定秘钥，因此这里难度不大，但是遇到一个坑，那就python和js对json进行md5取hash,MD5结果值不一致，于是在网上寻找方法，最终还是找到了原因，接下来进行记录。
加密的数据包

签名方法为MD5

记录

python对{‘name’:‘anan’,‘age’:‘18’}转换为json字符串

js对{‘name’:‘anan’,‘age’:‘18’}转换为json字符串

比较结果

python通过json.dumps处理的结果在:与值之间多了一个空格

{"name": "anan", "age": "18"} #python {"name":"anan","age":"18"} #js

处理方式

json.dumps(data, separators=(",", ":"))

结语：

欢迎各位关注我的csdn博客，或者微信公众号：小白学IT