8
2
2012
14

GM 脚本:桌面浏览器登录招商银行手机版,及 mitmproxy 的初次使用

本文来自依云's Blog,转载请注明。

招商银行网银需要控件,只支持 Windows 和 Mac。但是手机版不需要安装任何软件可直接登录。通过桌面浏览器访问https://mobile.cmbchina.com/MobileHtml/Login/LoginA.aspx可以看到登录界面,但登录时被拒绝,弹出警告「为了您的资产安全,请用手机访问手机银行!」。更改 UserAgent 失败。通过 Firebug 发现其 POST 数据中包含从 JavaScript 取到的navigator.UserAgentscreen.widthscreen.heightnavigator.platform的值,以 XML 发送给服务器。于是尝试修改之。

这次使用 privoxy 不行了,因为是 HTTPS 加密连接,privoxy 看不到内容。于是用上了前不久才发现的工具mitmproxy,一个支持 SSL 的中间人代理,并支持交互、命令行和脚本化查看、编辑功能。在看了下请求数据后,按i输入要中断的请求的模式-u LoginA,在请求 URL 包含LoginA字样时中断以进行人工编辑。使用j键移动到停下来的橙色请求上:

中断浏览器请求

按回车显示详细信息,按e进行编辑,f选择编辑表单域,编辑完成后退回到请求列表界面,按a继续,再按a接受响应信息。

编辑POST表单

经过多次 Google 和编辑尝试,招行终于不再要求我使用手机访问了。不过很显示,我不能每次登录都使用 mitmproxy 手工编辑对不?于是写了个 GreaseMonkey 脚本。

此脚本用到了unsafeWindow,也就是页面本身中的那个window对象,而不是被GreaseMonkey wrap 过的。这样才能修改页面中定义的函数。注意据说这样做有安全风险。详见 GreaseMonkey Wiki

点击此处安装此脚本早已失效

Category: 火狐 | Tags: GreaseMonkey 火狐 mitmproxy | Read Count: 9949
adam8157 说:
Aug 02, 2012 03:38:23 PM

我用的这个: https://userscripts.org/scripts/show/109672

maplebeats 说:
Aug 02, 2012 04:51:01 PM

求工行版。。。

Avatar_small
依云 说:
Aug 02, 2012 05:58:42 PM

造轮子了……
不过那个好混乱的样子= =

Avatar_small
依云 说:
Aug 02, 2012 05:59:08 PM

工行也有手机版?地址呢?

雅盛松木家具 说:
Aug 04, 2012 03:23:18 PM

招商银行网银需要控件,是只支持 Windows 和 Mac。我还没有招商银行的卡呢!看看建行的是不是也一样

Ma Xiaojun 说:
Aug 09, 2012 02:04:12 PM

wmlbrowser扩展呢?

eleven.i386 说:
Sep 03, 2012 10:07:58 AM

mark了, 這是一個好東西來的, 俗話說, 不告知而拿视为窃, 咱來打聲招呼. 方便下次下爪,.
ps : 萬惡的驗証碼...

Avatar_small
依云 说:
Sep 03, 2012 10:57:53 AM

没办法,akismet 刚用时还好好的,后来不管什么评论全往 spam 里扔,就没再用那个了= =

eleven.i386 说:
Sep 03, 2012 11:13:57 AM

...期待大量評論哇.. 讓評論淹沒我吧... 順便求友鏈.嘿嘿..

xixi 说:
Sep 16, 2012 07:58:10 PM

不错不错,以前都是在用Opera Mobile Emulator

eleven.i386 说:
Sep 20, 2012 12:57:30 PM

第二次看这个文章,我才反应过来, 我自己也是招行卡.. 我勒个去哇..

Endle 说:
Mar 03, 2015 10:25:50 PM

悲伤的故事,现在这个脚本不好使了

Avatar_small
依云 说:
Mar 03, 2015 10:43:39 PM

嗯,早失效了 :-(


登录 *


loading captcha image...
(输入验证码)
or Ctrl+Enter

部分静态文件存储由又拍云存储提供。 | Theme: Aeros 2.0 by TheBuckmaker.com