这是一个创建于 889 天前的主题,其中的信息可能已经有所发展或是发生改变。
加密后的前端数据->?解密数据,映射接口地址->后端明文->?加密数据->前端解密
要求前端 F12 看到的请求数据是加密的
第 1 条附言 2023-07-10 17:07:36 +08:00
需要的是现有的可以拿来用的一个类似 Nginx+接口映射+数据解密转发给后端 的轮子
 | 1 noe132 2023-07-10 16:37:15 +08:00 via Android 前端加密最多就是个混淆的效果。最简单的把请求体用 aes 过一遍就行 |
 | 3 tool2d 2023-07-10 16:40:56 +08:00 前端不用 json 就行了. 我前端都是 gRPC 之类的二进制数据,F12 要处理还挺麻烦的。 |
| 4 tool2d 2023-07-10 16:43:03 +08:00  1 99%的前端应该不会花大力气去写代码处理二进制数据。 托了 wasm 福气,我就是那个 1%的少数人群。 |
 | 5 u20237 2023-07-10 16:51:57 +08:00 我懂一点点后端相关的技术,但我不太懂前端,我讲出来了 过了一段时间就被破解了。。。 加密/混淆方法是有时间限制的,不太可能做一个长时间都不会被破解的方法 |
 | 6 xiangyuecn 2023-07-10 17:00:49 +08:00 RSA 加密,公钥可以放前端。不用去考虑什么二进制不二进制的 还有 性能不性能的。不用考虑 AES 。 |
| 7 xiangyuecn 2023-07-10 17:02:49 +08:00 漏了,服务器端数据还要加密,那还是 AES 吧 |
 | 8 linauror 2023-07-10 17:58:10 +08:00 要想做靠谱点,就使用非对称加密,比如 RSA ,对称加密在前端加密,还是会被搞出来 |
 | 9 mdn 2023-07-10 18:31:58 +08:00 AES + RSA 1. 前端 js 随机生成 AES key 2. AES 加密 data ,RSA 公钥加密 AES key 3. {key:..., data: ...} 传给后端( AES key 是 js 随机生成在内存中,前端代码中也没有 RSA 私钥,理论上是 key 保密的,用户自己也无法拿到) 4. 后端收到数据 RSA 私钥解密 key ,在用 AES key 解密 data 5. 接口返回数据 RSA 私钥加密 key ,key 加密返回数据,回传给前端(因为公钥是存在前端代码中,所以无法完全保密) |
 | 11 KagurazakaNyaa 2023-07-10 18:41:28 +08:00 试试 ECDHE 握手+AES 加密,参考 tls 的四次握手做法就好了 |
 | 12 lianyue 2023-07-10 18:44:56 +08:00 body 数据带 gzip,br 压缩?? Content-Encoding gzip Content-Encoding br ??? |
 | 15 walpurgis 2023-07-10 19:00:30 +08:00 via iPhone 这种都是伪需求,如果都能开 f12 了,无论什么加密方式,直接在前端加密函数上打个断点,所有数据都出来了 |
 | 16 fzls 2023-07-10 19:06:13 +08:00 你的数据在客户端使用的时候不是明文的吗-。-难道全程都是加密状态吗 |
 | 17 liantian 2023-07-10 19:08:17 +08:00 via iPhone 其实站在安全的角度,这样不好… 你的加解密对于 waf 那是天书,对于有些模拟操作的渗透工具是儿戏… 除非后端是输入输出验证全部都自己做的很好… |
| 18 KagurazakaNyaa 2023-07-10 19:11:43 +08:00 @walpurgis 可以用 wasm 写,这样要打断点就相当麻烦了 |
 | 19 zsj1029 2023-07-10 19:19:03 +08:00 https 不用担心中间人 如果为了防止重放攻击,客户端调试破解请求,才考虑上加密 js 的普通混淆加密,可被解读,所以除了 wasm 没有真的好办法 |
 | 20 Cosmic4764 2023-07-10 19:42:49 +08:00 还是二进制好一些把,不论什么是传参还是 file 文件,都转成二进制发送。 |
| 21 walpurgis 2023-07-10 20:35:31 +08:00 @XiLingHost wasm 内的数据最终还是要从 js 进出的,对于 js 来说 wasm 就是一个黑盒函数而已,我想拿数据并不需要了解它的实现,我可以在它外面打断点直接调用它 |
 | 22 amlee 2023-07-11 00:18:19 +08:00 我感觉是伪需求,前端只要能开 f12 ,无论如何都能拿到数据。只要在前端加密前,解密后,打上断点就行 |
| 23 KagurazakaNyaa 2023-07-11 08:14:46 +08:00 @walpurgis https://www.egui.rs/ 参考这个,你觉得该怎么打断点 |
 | 24 dengshen 2023-07-11 10:03:48 +08:00 via iPhone 看看谷歌的接口吧。数据看起来全是乱码 |
| 25 mdn 2023-07-11 10:53:44 +08:00 |
| 26 mdn 2023-07-11 10:58:08 +08:00 二进制只是一种编码形式,没有加密,直接解码就能得到内容 |
 | 27 jianyang 2023-10-07 15:49:51 +08:00 我认为前端最大的加密就是混淆 不管你用什么加密方式你重要写在 JS 中吧、前端逆向最麻烦的点应该在于处理各种混淆 至于数据加密时间戳什么的、只要你对你的混淆有足够的信心、随便写个位移算法就够了 |
Select Language