看到最近 2 天讨论最多的前端加密方式防止逆向,分享一下有意思的东西
source link: https://www.v2ex.com/t/967324
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
前端如何做加密,解密才不能破解呢,这里发现了两个有意思的网站 网站 A: aHR0cHM6Ly95YW5ndHUudG9wLw== 网站 B:aHR0cHM6Ly9qeC5qc29ucGxheWVyLmNvbS9wbGF5ZXIvP3VybD1odHRwczovL3YucXEuY29tL3gvY292ZXIvbXpjMDAyMDBjdDIzMGgxL2owMDQ2NGJveDJkLmh0bWw= 大家感兴趣的可以看一下,他们是如何做的,这里只做技术交流,不涉及其他
 |
mokiki 15 小时 20 分钟前 T1DkuLrku4DkuYjopoHovaznoIHlkaLvvJ8K6L+Z5piv5Li65LuA5LmI5ZGi77yfCuWIsOW6leaYr+S4uuS6huS7gOS5iOWRou+8nw==
|
 |
AoEiuV020JP 15 小时 20 分钟前 不直接说一下吗, 是有什么亮点?视频资源站,应该都差不多吧,
|
 |
uibobo 15 小时 19 分钟前 这玩意个解密有啥关系
|
 |
picone 15 小时 16 分钟前 我也来分享一个,尝试逆向太难了。https://www.nftsniper.club/
- 通过 timer 触发 debug ,通过代理 js 去掉了 - 所有函数和字符串都有编码表,动态拼接起来,和你发的第二个有点类似,不过更复杂一些 |
 |
horizon 15 小时 4 分钟前 wasm 能被逆向吗
|
 |
enpitsulin 14 小时 57 分钟前 不过看起来你这两个链接中的 wasm 都是提供弹幕功能的库罢了
其实有一点就是如果使用 wasm 写通用逻辑完全可以 dump 找到 js 调用方直接去调,作为一个通用平台,提供 wasm 相当于提供了个库😂 当然把业务逻辑完全写在 wasm 那就基本没得搞了,但是可能代价有点大 |
 |
7v9TEc53 14 小时 50 分钟前 wasm 又不是不能逆向
|
 |
tool2d 14 小时 27 分钟前 第一个网站随便下断点调试,没看到什么亮点。
第二个网站 m3u8 获取做了鉴权机制,把 header,refer 什么都加上就可以了。 |
 |
Binwalker 14 小时 20 分钟前 机器码都能逆向,前端那套当然更可以
|
 |
hsuehliuyang 14 小时 6 分钟前 via iPhone @tool2d 你仔细看一下其实第一个是最难的
|
|
hsuehliuyang 14 小时 5 分钟前 via iPhone @enpitsulin 两个加解密的逻辑都在 wasm 里 wasm 没有提供弹幕功能,只做加解密相关
|
|
tool2d 13 小时 56 分钟前 @hsuehliuyang 第一个就是普通的 mp4 视频啊,我看的连 m3u8 都没加入。写个 JS 插件注入到页面,获取 mp4 url 就可以了。
|
 |
ljrdxs 13 小时 51 分钟前 via Android 看了本站“关于”,没说不能发链接。为何用 base64 编码?
|
|
tool2d 13 小时 47 分钟前 哦,第一个电视剧腾讯源是 mp4 。普通的动画片是 m3u8 切片,但是放在阿里云上的,随便下。还不如第二个是自己的服务器,有鉴权机制。
|
|
tool2d 13 小时 41 分钟前 这种视频网站有个通病,就是再怎么加密,一定会有获取 m3u8 这个步骤。
如果获取的是明文 m3u8 ,必定会被浏览器给捕获,也会被带过滤器的浏览器插件给捕获,这是 100%可以复现的。 有那种二进制加密 m3u8 ,取回来内存解密,但是这种极少见。 |
 |
fzdwx 13 小时 38 分钟前 老哥你分享的第二个网站太棒了
|
|
hsuehliuyang 13 小时 32 分钟前 via iPhone @ljrdxs 如果连 base64 编码都不知道,那我感觉他也不清楚网站的特殊之处,为了过滤一部分吧
|
|
tool2d 13 小时 27 分钟前 @hsuehliuyang 也许我们侧重点不一样,我是觉得自己插件能提取出任意的 m3u8 地址,直接本地播放。
你可能需要研究 m3u8 地址是如何拼接出来的,如何调用他们的 API 。 我不是做视频站的,对 API 不太关心。只要能下载视频切片,能本地看视频就可以了。 |
 |
fason1995 13 小时 23 分钟前 哈哈 第二个网址不错 除了资源不太全 没啥问题
|
 |
otakustay 13 小时 23 分钟前 如果我要 CSRF ,你加密是 wasm 我拿着你的 wasm 用就行了
如果我要看加密前的内容,只要找到你调用 wasm 的地方打断点就行了 所以这个解决了什么问题呢? |
 |
kkk9 13 小时 2 分钟前 没看出来有什么挑战性
|
 |
zzNucker 12 小时 59 分钟前 这种就别发了
想挑战自己第一去搞谷歌的 recaptcha ,第二去搞淘宝的反爬 |
 |
danbai 12 小时 53 分钟前 52 上这种破解 wasm 很多
|
|
hsuehliuyang 12 小时 52 分钟前 via iPhone @otakustay 你可以拿着 wasm 运行一下,你就知道了
|
|
ljrdxs 12 小时 50 分钟前 @hsuehliuyang 光凭编码我也看不出。只是 base64 用的最多罢了。
|
 |
janus77 12 小时 40 分钟前 我只知道一个比较大的就是微信读书的 web 页面 https://weread.qq.com/ 反正这个没看到人破解
|
 |
learningman 11 小时 46 分钟前 wasm 总要导出函数,直接拿着导出函数用不就完事了,管他内部怎么处理的
|
|
learningman 11 小时 45 分钟前 (func $env.syscall/js.valueSet (;0;) (import "env" "syscall/js.valueSet") (param i32 i32 i32 i32 i32))
(func $env.syscall/js.valuePrepareString (;1;) (import "env" "syscall/js.valuePrepareString") (param i32 i32 i32)) (func $env.syscall/js.valueLoadString (;2;) (import "env" "syscall/js.valueLoadString") (param i32 i32 i32 i32 i32)) (func $env.syscall/js.valueLength (;3;) (import "env" "syscall/js.valueLength") (param i32 i32) (result i32)) (func $env.syscall/js.valueIndex (;4;) (import "env" "syscall/js.valueIndex") (param i32 i32 i32 i32)) (func $env.syscall/js.valueGet (;5;) (import "env" "syscall/js.valueGet") (param i32 i32 i32 i32 i32)) (func $env.syscall/js.valueCall (;6;) (import "env" "syscall/js.valueCall") (param i32 i32 i32 i32 i32 i32 i32 i32)) (func $env.syscall/js.stringVal (;7;) (import "env" "syscall/js.stringVal") (param i32 i32 i32 i32)) (func $env.syscall/js.finalizeRef (;8;) (import "env" "syscall/js.finalizeRef") (param i32 i32)) (func $env.runtime.ticks (;9;) (import "env" "runtime.ticks") (result f64)) (func $wasi_snapshot_preview1.fd_write (;10;) (import "wasi_snapshot_preview1" "fd_write") (param i32 i32 i32 i32) (result i32)) (func $wasi_snapshot_preview1.random_get (;11;) (import "wasi_snapshot_preview1" "random_get") (param i32 i32) (result i32)) |
|
hsuehliuyang 11 小时 32 分钟前 via iPhone @learningman 内部有检测,你可以拿着运行一下
|
|
tool2d 11 小时 8 分钟前 一个视频网站,m3u8 没加密,切片没加密,我也不知道楼主想要破解什么信息。
|
|
hsuehliuyang 8 小时 29 分钟前 @bigha 大佬,大佬
|
 |
kuanat 7 小时 29 分钟前 连 js 混淆都不做,根本没有想要防的意思。它这个业务,侵权就不说了,偷流量、滥用 cdn 真是熟练。
|
|
hsuehliuyang 7 小时 3 分钟前 via iPhone @kuanat 有没有可能人家比较自信,连 debugger 都没😂
|
|
kuanat 6 小时 33 分钟前 via Android |
|
kuanat 6 小时 29 分钟前 via Android @hsuehliuyang 这和有没有自信没关系啊。
前段混淆无非就是防君子、小人和机器人。第一个网站的业务,显然不是防君子防机器人,防小人也用不着,因为没有一点东西是自己的。 但是你看它用伪造的 png 头假装图片跑视频流,然后用某站的缓存漏洞托管自己的播放列表文件,这种手段水平,想加个 js 混淆太容易了。 它真想藏的大概不是 url 而是流量。 |
|
hsuehliuyang 6 小时 23 分钟前 via iPhone @kuanat 是的就网站首页是他自己的😂
|
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK