绕过小程序参数签名验证
2022/7/2 1:22:58
本文主要是介绍绕过小程序参数签名验证,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
在一些关键业务接口通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步漏洞检测。
微信小程序的前端代码很容易被反编译,一旦签名加密算法和密钥暴漏,找到参数的排序规则,那么就可以篡改任意数据并根据算法伪造签名。
01、常见签名算法
首先呢,我们需要注意的是,加密和签名是两回事,加密是为了防止信息泄露,而签名的目的是防止数据被篡改。
哈希算法的不可逆,以及非对称算法(私钥签名,公钥验签),为签名的实现提供了必要的前提。
常见的签名算法,如MD5、SHA1、SHA256、HMAC-SHA1、HMAC-SHA256、MD5WithRSA、SHA1WithRSA 、SHA256WithRSA等。
各种签名示例如下:
02、RSA签名绕过
比如在一个微信小程序游戏的场景里,用户在游戏结束的时候,需要将游戏成绩发送到后端,以此来记录玩家的分数。因调用API时对请求参数进行签名验证,服务器会对该请求参数进行验证是否合法,所以当我们尝试去篡改游戏成绩的时候,就会提示签名异常。那么,该如何破局呢?
(1)微信小程序反编译解包
使用模拟器获取微信小程序的.wxapkg包
使用反编译脚本解包,获取小程序前端源码。
(2)逆向破解小程序参数签名
将小程序的前端代码复制到本地,全局搜索关键字,因关键js代码未作混淆加密,很容易就获取到了RSA签名算法和私钥。
最常见的是根据参数名称将所有请求参数按ASCII码排序,而在这里我们很容易地就可以从前端代码里获取到参数顺序。
(3)利用rsa签名伪造Sign
成功伪造签名篡改游戏成绩。
这篇关于绕过小程序参数签名验证的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-24微信小程序资料入门指南
- 2024-12-20微信小程序开发入门指南
- 2024-12-20小程序 createCameraContext() 怎么实现识别条形码功能?-icode9专业技术文章分享
- 2024-11-22微信小程序的接口信息py可以抓到吗?-icode9专业技术文章分享
- 2024-11-22怎样解析出微信小程序二维码带的参数?-icode9专业技术文章分享
- 2024-11-22微信小程序二维码怎样解析成链接?-icode9专业技术文章分享
- 2024-11-22微信小程序接口地址的域名需要怎么设置?-icode9专业技术文章分享
- 2024-11-22微信小程序的业务域名有什么作用-icode9专业技术文章分享
- 2024-11-22微信小程序 image有类似html5的onload吗?-icode9专业技术文章分享
- 2024-11-22微信小程序中怎么实现文本内容超出行数后显示省略号?-icode9专业技术文章分享