🌐 MTOP/RPC 绕过

通过 mtop/httpRequest JSAPI 间接调用后端API, 绕过 rpcWhitelist 限制

绕过原理:
• rpc JSAPI 使用独立的 rpcWhitelist 检查 → btalipay.com 不匹配
• mtop JSAPI 配置为 level_medium → 通过 aliWhitelist 绕过
• httpRequest JSAPI 配置为 level_low → 但有内部域名检查
• openMtop JSAPI 配置为 level_medium → 通过 aliWhitelist 绕过
• MTOP 可以直接调用阿里后端接口, 效果等同于 RPC

🎯 mtop JSAPI level_medium

MTOP (Mobile Taobao Open Platform) 是阿里系统一的移动端API网关。通过 mtop JSAPI 可以直接调用后端接口。

API名称: API版本: 请求数据 (JSON):

🎯 openMtop JSAPI level_medium

openMtop 是 mtop 的另一个入口, 同样可以调用后端接口。

🌐 httpRequest → RPC level_low

通过httpRequest直接调用 mobilegw.alipay.com 网关, 携带用户Cookie进行RPC调用。注意: httpRequest内部可能有额外的域名检查 (AOMPNWUtils.checkNetworkJsapi)。

目标URL: 方法: 请求体 (POST):

💸 Transfer APIs level_medium

转账相关接口,可用于验证收款人信息。

🔑 getMtopToken level_medium

获取MTOP认证Token, 可用于构造直接的MTOP请求。

⚙️ configService level_medium

获取远程配置, 包括权限配置等敏感信息。

配置 Key: