Reverse Engineering

Tips for Reversing TikTok API

Всем привет, хочу рассказать о моем опыте реверса веб и мобильного апи тиктока, о том с какими трудностями я столкнулся, чтобы не пришлось сталкиваться другим и дать пару простых советов

Веб

При работе с вебом на большинстве эндпоинтов требуются три основных query-параметра - x-bogus, x-gnarly и verifyFp. Кому интересно, эти параметры генерируются из прочих query-параметров, тела запроса и юзер-агента. Как именно они собираются вам знать не обязательно, так как ниже я оставил готовые функции для их генерации на Python

Для анализа запросов из браузера чаще всего подходит стандартный DevTools, который есть в любом браузере и где можно скопировать любой запрос в curl и автоматически преобразовать его на любой ЯП с помощью https://curlconverter.com/ или конкретно на Python с помощью https://scrapfly.io/web-scraping-tools/curl-python
Однако иногда в DevTools теряется дата запроса и поэтому я советую использовать mitmproxy, который будет выступать как ****** между вами и сервером для более тщательного анализа трафика

Мобилка

Здесь немного сложнее, так как вместо трех query-параметров используются четыре заголовка - x-khronos, x-ladon, x-argus и x-gorgon. Ниже я также оставил готовые функции для их генерации, но кому интересно из чего они генерируются - также идут в ход query-параметры, но добавляются и остальные заголовки, и таймстампы, и на самом деле еще куча параметров (aid, device_id, install_id, platform, x-ss-stub и др.). Для генерации device_id и install_id я кстати тоже оставил методы внизу :)

Для анализа запросов с мобильного приложения можно попробовать Reqable для iOS, либо тот же самый mitmproxy который подойдет везде, ведь он используется как обычный ******. Я лично использовал его в связке с BlueStacks

Обещанная реализация генерации этих параметров

https://github.com/aionotaio/tiktok-reverse-api