这次分析的目标很明确:把 com.mlfiwe.fro 常规 API 的请求头校验和返回解密流程拆出来。 它和常见的 URL sign 不太一样。请求侧的关键点藏在几个 X-App-* 请求头里,响应侧的业务内容则包在 data.result 里的 enc: 密文中。只靠抓包能看到外壳,但看不
2026-05-18
rank/list 401 签名算法分析 401 不是 token 的问题,而是请求发送前少了一段签名链。 只带 X-Cyc-Token 和 X-Cyc-UID 请求 rank/list,服务端仍然会拒绝。真正缺的是 Ktor 请求拦截器自动补进去的两个东西:URL 参数 timestamp
2026-05-06