Mapbox GL JS是一个客户端JavaScript库,用于使用Mapbox的现代地图技术构建网络地图和网站应用程序。您可以使用该JS库在网站浏览器或客户端中显示Mapbox地图,添加用户交互性,并在应用程序中自定义地图体验。
其教程效果展示
众所周知api接口都需要token访问,我们要做的是去别人的已经部署的网站,获取密钥链接访问时使用
mapboxgl.accessToken = 'YOUR_MAPBOX_ACCESS_TOKEN';
对于今天的两个目标站点,为了演示,我分别用两种方法破解。
一 断点调试侵入法
第一个目标站 www.travelplan-ai.com 是一家旅行行程生成器,它使用机器学习(ai)帮助用户规划旅行行程。
在其首页宣传栏有mapbox的地图展示框,顺手打开F12界面。
切换到网络选项卡,并打开js筛选功能。
可见都是编译后的js源码,很难从名字看出某个文件有什么用,因此善用搜索快捷键 ctrl+f 功能。
两种搜索都可以:一是点击接受文件的“名称”那栏,按搜索快捷键打开左侧搜索框输入关键词即可检索。二是单个文件内检索,单击文件名字打开右侧预览框,在预览内按搜索快捷键输入关键词在本文件内检索。
观察再三可以发现,名字为 2c796e83-8260c57697294d2a.js 的文件内有最多的相关词语,因此重点检查它。
切换到源代码页,找关键词accessToken打上断点,这个单词是mapbox的例子,所以猜测项目中大概率也用它。搜索结果一共有5处,不放心的可以都打断点,我已经知道答案了所以才点这一处。
刷新页面,运行会停在我们指定的位置,随后点单步执行按钮
打开控制台抽屉,此时本地变量“r”已经存储有accessToken令牌了,右键复制字符串内容即可得到目标。随后点恢复按钮让程序正常运行即可。
目标字符串示例:access_token=pk.eyJ1IjoibXJx......省略......9.zxzQbBc4YZZetxL_T9KpDw
二 内存搜索法
第二个目标网站是 https://edition.cnn.com/2025/01/08/us/maps-visuals-los-angeles-wildfires-dg/index.html 它是cnn一篇山火情况的新闻报道页,网页内嵌有地图。因此可直接查看客户端token的值。
等待网站加载完成后,打开F12切换到内存页
点获取快照,进入后搜索字符串“pk.eyJ1Ijoi”找到就点该对象右键
好了,游戏结束,这就是我们要找的accessToken。
以上方法仅适用于客户端API,即请求都是从本地发出去的,没有服务端反向代理,因此能拿到钥匙,如果用了其他办法,那么获取的时候就难一些。
mapbox的accessToken访问令牌在他家官网可以免费获取(个人用户),因此本帖的方法仅供学习逆向,不代表我支持这种借用别人accessToken的行为。
