这次分析的核心是还原某饭视频 App 主业务 API 的请求签名算法。主业务接口使用 timestamp、X-UIDM 和 X-Cyc-Signature 完成请求校验。其中 X-UIDM 和 X-Cyc-Signature 都基于 XXH64 生成,seed 来自秒级时间戳。 一、请求签名的整体
2026-05-20
这次分析的目标很明确:把 com.mlfiwe.fro 常规 API 的请求头校验和返回解密流程拆出来。 它和常见的 URL sign 不太一样。请求侧的关键点藏在几个 X-App-* 请求头里,响应侧的业务内容则包在 data.result 里的 enc: 密文中。只靠抓包能看到外壳,但看不
2026-05-18
rank/list 401 签名算法分析 401 不是 token 的问题,而是请求发送前少了一段签名链。 只带 X-Cyc-Token 和 X-Cyc-UID 请求 rank/list,服务端仍然会拒绝。真正缺的是 Ktor 请求拦截器自动补进去的两个东西:URL 参数 timestamp
2026-05-06
一、这次要解的不是一个点,而是一整条链 这次分析的目标很明确:把某子视频 APP 里一条接口调用链完整拆开。具体有四件事要做。 1. 找出 URL 里sign 的生成算法。 2. 找出接口返回里 data 的解密算法。 3. 用 Python 把 sign 和 data 两套逻辑离线实现
2026-04-30