关于拼多多以图搜图的探索和分析 | 您所在的位置:网站首页 › 以图搜图功能实现源码 › 关于拼多多以图搜图的探索和分析 |
拼多多以图搜图的探索和分析
声明首先抓包手机客户端接着开始反编译APK进一步溯源分析最后的最后值得提醒的是补充
声明
本人的所有操作只用于学习和探讨,提升技术~ 请大家不要胡乱操作! 如有侵权,联系删除~ 首先抓包手机客户端抓包最后得出的结论是,除了图片等非重要信息的链接,其他关键接口均为https加密请求,无法从中获取有效信息。 接着开始反编译APK解包以后,发现拼多多安卓开发人员还是比较友好的,没有混淆加固。 通过image、file、upload等多个关键字搜索排查,初步判断,需要请求得到一个签名(signature)。 可以发现,请求签名的头部(Header),经过测试,其中最重要的一个请求参数是AccessToken。通过搜索AccessToken关键词,发现它是用户信息的其中之一,是一个会在一段时间后改变的参数,同理,在一段时间内,这个参数是可以有效使用的。探索到这,发现拼多多为了限制请求滥用,煞费苦心! 将请求的链接拼接起来,就可以得到完整的拼多多以图搜图了。 拼多多对请求限制非常严格,几乎不会超过10次,就会弹出验证,另外Token的有效期也不是很长。另外,当你在浏览器使用的话,会发现点击H5页面元素是无效的,因为拼多多元素点击是单独在客户端View层。当然,可以通过js补充元素点击事件。最后,附上成功的展示吧。 本文仅提供思路。感谢看到这里的你!感兴趣可以找我学习探讨~ |
CopyRight 2018-2019 实验室设备网 版权所有 |