0x00 前言
前几个星期在写一个微博监控系统 可谓是一波三折啊 获取到微博后因为一些字符编码问题 导致心态爆炸开发中断 但是就在昨天发现了另外一个微博的接口
一个手机微博的接口https://m.weibo.cn/ 经过一番测试后认为这个接口满足我的要求 就继续完成未完成的使命吧
0x01 分析
这个接口直接访问的话会有一个302跳转到一个登陆界面
也就是说这里需要先模拟登陆一下才可以访问到微博
抓个包分析了一下
发现只要用户名和密码正确既返回200且json部分的retcode会返回20000000
少了验证码这一大坑 那模拟登陆就相当简单啦
登陆完后访问用户主页 例如:https://m.weibo.cn/u/3023940914可以在审查元素的Network模块看到
这里用了两个xhr来加载用户信息及微博信息
分别是https://m.weibo.cn/api/container/getIndex?type=uid&value=3023940914&containerid=1005053023940914
https://m.weibo.cn/api/container/getIndex?type=uid&value=3023940914&containerid=1076033023940914
经过测试这个接口直接加上type和value参数访问 就相当于第一个接口 不必加上containerid参数
而第二个接口的containerid参数则是通过第一个接口获取的
获取到第二个containerid参数访问第二个接口就可以获取到这个uid发布的微博了
返回的是json格式的数据 用户的微博信息都在cards列表里每条数据的mblog数组里面 包括微博正文、图片、来源与时间等
其中card_type标识的是微博类型 例如:文字微博 图片微博 视频微博 转发等 经过测试文字微博和图片微博的card_type标识都一样为9
这里初步只开发监控文字和图片微博的功能<del>其实就是懒</del>
0x02 开发
首先需要模拟登陆 后续的操作都需要基于登陆的格调来进行 也是需要在同个会话进行 可以使用requests.session() 方法来完成代码片段:
登陆完成后就可以拼接用户id访问前面说的第一个接口了访问完后再拼接containerid参数获取微博信息的json数据代码片段:
这里把所有获取到的微博的id存起来 后面继续访问是发现有新的微博id不在这个列表里就证明是新发布的微博代码片段:
将这些方法封装成了一个类 完整代码如下
写了个一发现有新微博就发邮件提醒的功能 完整代码见Github地址 https://github.com/naiquann/WBMonitor
0x03 测试
代码运行
填写完相关的登陆信息及要监控的用户的id后
这里写了一个心跳包 每三秒访问一次看看有没有新微博发布测试的时候这样比较方便 要是拿来用的话可以酌情增加间隔时间
当有微博发布的时候
大功告成啦 监控小姐姐的微博去喽~
(来源:奶权@米斯特安全团队)
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。