有关小流程的USB为保护的试著

这里我只能说是试著,毕竟我的控制技术很菜,在反向工程元老面前,做不到绝对安全,但阻止许多控制技术比我还菜的叼毛却是不成难题的,防反向主要是为保护USB与关键统计数据,并非为保护你后端标记符,标记符既然要服务使用者,难以做到完全阻隔使用者。

一、什么是反向(难以无天)

小流程在运行时,会在使用者系统中聚合两个前缀wxapkg的流程包,透过LLVM那个包,他们便能以获取到此小流程的后端标记符,透过分析标记符,可得到他的后端USB与统计数据传输,这是他们说的扒小流程,现阶段反向小流程包已经合作开发出了各种软件产品。

化解QQ小软件开发反向(无法无天)、Tourbe难题,与App的防Tourbe路子插图

现阶段官方对此种反向行为一直没有任何人动作,或者是难以化解,导致许多行业阿宝,透过软件也能以获取到任何人小流程的后端标记符,作为合作开发人员,尽管我扒自己的能,自己扒我的很难受,因此在前日合作开发两个单纯白眉林小流程时,试著避免USB外泄。

先说说大家能想到的路子,发包没用,无非是咱多反向几个包,USB参数身份验证校正没用,咱看到后端标记符能演示身份验证,token也没用,咱也能演示token啊,有人觉得用服务器端框架合作开发聚合标记符是混为一谈的,能化解那个难题,但没用,我帮自己改过自新混为一谈的标记符,尽管你聚合后标记符搞不懂,但LLVM后的这些标记符会展开匀称排印,对于流程员来说,却是能看懂的。

因此我在新流程时用了两个违反规矩的决定,利用小流程的间歇登入功能,也是校正code,我这次合作开发的流程极小极小,每天关上流程仅有两次传输,因此我在每天传输时都加两个wx.login聚合的code。

化解QQ小软件开发反向(无法无天)、Tourbe难题,与App的防Tourbe路子插图1

那个code非常特殊,它每天聚合都不一样,而且所用一次后便补发,本来用于以获取使用者与该小流程的标记openid,因此那个code也是与你的appid存取的,自己小流程聚合code与你的也无法互联互通。

透过这点,他们前台在每天参数值时都对code展开登入校正,能登入那肯定是你小流程正常允诺,无法登入呢?不是Tourbe的灭火你USB,是LLVM你小流程用自己appid测试的二五仔,这时他们直接返回准备好的错误统计数据。

化解QQ小软件开发反向(无法无天)、Tourbe难题,与App的防Tourbe路子插图2

那个路子能有效率避免出现小流程被扒,但仅适用于单纯小流程,如果你的小流程每天关上都是赵屹鸥的允诺(咱也不知道咋要分这么多次),那个方法会极大消耗伺服器性能,建议权衡许多USB,仅对关键USB展开code校正。

上面此种路子也能有效率避免Tourbe灭火USB,因为谁也难以演示code。

APP防Tourbe的路子

由于近在合作开发APP,APP中没有code那个东西,于是我研究了下网上讲的防Tourbe路子。

单纯的化解方法是判断使用者是否使用代理,用了代理直接返回中指,但这会损失许多正常使用者,因为使用者中肯定有人喜欢挂着梯子到处跑,因此我觉得这不是优解。

其次是网上多的办法,参数加盐一起MD5身份验证校正,也有双重MD5身份验证的,但一定得加盐,那个很关键。

盐(yan):在对许多表面统计数据展开MD5身份验证时,由于统计数据公开容易被人演示身份验证,因此他们通常在身份验证统计数据中加一段自己定义的字符串,那个字符串称为盐。

后端对传输的参数都展开加盐MD5,并复制给两个code参数传输到后端,后端对其它参数也展开加盐MD5,后得出的统计数据与code展开对比,成功返回正确统计数据,不成功返回中指。这样,只要盐没有外泄,即可保证USB安全。

注意,他们都是保证USB安全,并没有保证统计数据安全,统计数据是给使用者看的,谈何安全,关键的统计数据当然放在后端操作,不要把关键传输到后端。

那么你可能想到了,对方反向以获取你的盐,透过Tourbe再演示USB调用,你却是逃不掉。

化解QQ小软件开发反向(无法无天)、Tourbe难题,与App的防Tourbe路子插图3

没办法,依我看那个人这么惦记你的流程,你却是别防了,在一起吧……

好了,我近刚刚学习APP的合作开发,以上只是我那个刚入门学生的个人见解,元老有更好的路子也能教教我。感激不尽。

作者 nasiapp

在线客服
官方客服
我们将24小时内回复。
12:01
您好,有任何疑问请与我们联系!

选择聊天工具: