解读前端js中签名算法伪造H5游戏加分逻辑攻击

文章预览

更多全球网络安全资讯尽在邑安全 信息安全在我们日常开发中息息相关，稍有忽视则容易产生安全事故。对安全测试也提出更高要求。以下是笔者亲自实践过程： 一. 打开某个数钱游戏HTML5页面，在浏览器 F12 开发工具中，查看的js，如下，都压缩混淆： 如上分析是Vue.js开发的前端，Webpack打包 二. 玩游戏，通过fiddler抓包，分析分数相关请求 HTTP RAW详细报文如下： POST https://testgame.xxxx.cn/api/services/app/Game/AddGameScoreHTTP/1.1 Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1laWRlbnRpZmllciI6IjI2MCIsImh0dHA6Ly9zY2hlbWFzLm1pY3Jvc29mdC5jb20vd3MvMjAwOC8wNi9pZGVudGl0eS9jbGFpbXMvdXNlcmRhdGEiOiJ7XCJVc2VyTmFtZVwiOlwiMTc4NDQ1NDk2MTdcIixcIkhlYWRJbWd1cmxcIjpudWxsLFwiTmlja05hbWVcIjpcIjE3ODQ0NTQ5NjE3XCIsXCJT2XhcIjowfSIsInN1YiI6IjI2MCIsImp0aSI6IjE4MzNiYTUzLWJiYjQtNGE4Yi1hNDFmLWEzNjQ2MjU1Y ………………………………