呃,为什么会分析这个呢,是因为上个月去鹿儿岛撸柴犬(https://instagram.com/shibainu_lintaro),然后和饲主在咖啡厅瞎聊的时候顺便抓包看了下,因为他想写个bot刷等级(不是很懂帅哥的想法),而且最近这个App收到的垃圾信息也挺多的,于是掏出某个一直被用错地方的工具抓包。
Start
启动App的时候会向”https://api.ninemonsters.com/initial/get”附上auth_key和version获取基本信息,然而这App最骚的居然他喵的连Session都不弄一个,附上auth_key就能获取数据,安全性约等于0。
返回的包括auth_key的所有者的个人信息,以及小广告和人气用户的信息。所有时间相关都是Unix timestamp+000,只能说骚哭了。
Home
进入主界面后会先向”https://api.ninemonsters.com/push/regist”注册自己的最新地理信息及PUSH用的ID,然后会返回实际地址及记录在系统中的地址(我这种付费用户的功能)
同样的地理数据去掉PUSH用的ID之后向”https://api.ninemonsters.com/location/get”请求附近的基佬,返回JSON里面有附近基佬的public_key和图片信息和距离位置等,而且他喵的还附带图片上传时间!!!依然是Unix timestamp+000,App里提供了根据地图搜索的功能,看了下共用一个Api,增加’longitude”latitude’即可获取对应坐标的列表,根据三点判断距离,你即可获取一个基佬的准确定位(不要乱用谢谢)
Pic
前面拿到的JSON里面都会有图片名字对吧
“https://cdn.ninemonsters.com/images/square/”
“https://cdn.ninemonsters.com/images/original/”
GJ!
Msg
“https://api.ninemonsters.com/message/send”
附上自己的auth_key和对方的public_key即可发送消息,依然没有任何session认证。。。
Like&Breeding
“https://api.ninemonsters.com/breeding/add”
“https://api.ninemonsters.com/like/send”
去掉上面的message即可。。。
总结
抱歉各种实现和安全都太骚了,我没办法总结了(等等感觉暴露了我用基佬App的事情