抢茅塔吗?学学某米的「有品APP」,如何做数据签名防护!!!

2023-11-11 01:31

本文主要是介绍抢茅塔吗?学学某米的「有品APP」,如何做数据签名防护!!!,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、请求参数签名的样式

数据签名的样式效果

二、业务流程剖析

前端

前端的业务场景,主要采用Vue技术,模块化开发业务视图;使用Ajax技术,作为基本的异步数据传输(HTTP 请求),这样就可使网页从服务器请求少量的信息,而不是整个页面。

当然大厂研发的相关项目产品,相应的前端资源肯定会配上CDN加速,来减轻主节点服务器的宽带压力。

后端

笔者分析了下,某米的「有品APP」后端的技术栈应该是:SpringBoot、Redis、Rabbitmq、Mysql、ElasticSearch集成为业务场景提供服务。

在相关的目标业务接口分析后,笔者估计,Nginx只是存放前端静态资源的,请求相应的接口,Nginx会在后端反向代理到真实的业务接口。

交互分析

三、业务场景断点调试

根据相关的接口响应数据分析,笔者找到了这个接口下的关键字,那么就很好能找到切入扣,分析数据提交前的业务代码块,是怎么进行数据签名的。

抢购地址的关键字为spikeUrl;估计,他们后端开发人员,在设计之初,是想,通过这种技术手段能大大提高维护性,还有隐秘性吧!

笔者,在这里也学到了新的网络安全知识(在F12下,你跟我谈安全?),然后通过关键字搜索,下图就是实际的业务代码块:

通过代码分析,该关键字所在的代码块,是要传入一个doSpike的函数下,那么继续跟踪,轻而易举的找到Ajax引用的业务代码块:

根据关键字Xe,继续搜索源后,得到下面分析:

通过临时变量赋值,后续随时进入Debugger

临时变量唤起抢购商品的入口函数

处理数据流程分析:

手动发起请求后,服务端返回的响应结果:

到这里,大致的业务流程,笔者这里已经唠的非常顺畅了,剩下就是数据签名这玩意了[doge]

调试步入数据签名函数:

对提交的数据,进行数据签名分析:

最后数据签名返回的结构体:

另外,细心的同学,肯定已经发现了,客户端的明文字典了:

经过分析后,其主要的数据签名算法如下:

//其中提交的数据是对象,有做转字符处理
//其中join是做拼接作用的
MD5( (与服务器同步的时间戳+随机数+提交的数据+数据干扰串).join('&') )
//原生混淆的算法
//a.a.hash( [ e, n, p.create(t), u(s) ].join("&") )

   

四、总结

某米的「有品APP」,在数据签名这块,他们自主研发的加密数据算法,在速度、复杂、安全系数方面,有很多的技术参考价值。

本文技术攻略若是对你有帮助,各位老板们,动动你们的手指安排 “ 打赏+分享 ” 把~

转载请标明原处,谢谢。

这篇关于抢茅塔吗?学学某米的「有品APP」,如何做数据签名防护!!!的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/386644

相关文章

大模型研发全揭秘:客服工单数据标注的完整攻略

在人工智能(AI)领域,数据标注是模型训练过程中至关重要的一步。无论你是新手还是有经验的从业者,掌握数据标注的技术细节和常见问题的解决方案都能为你的AI项目增添不少价值。在电信运营商的客服系统中,工单数据是客户问题和解决方案的重要记录。通过对这些工单数据进行有效标注,不仅能够帮助提升客服自动化系统的智能化水平,还能优化客户服务流程,提高客户满意度。本文将详细介绍如何在电信运营商客服工单的背景下进行

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

关于数据埋点,你需要了解这些基本知识

产品汪每天都在和数据打交道,你知道数据来自哪里吗? 移动app端内的用户行为数据大多来自埋点,了解一些埋点知识,能和数据分析师、技术侃大山,参与到前期的数据采集,更重要是让最终的埋点数据能为我所用,否则可怜巴巴等上几个月是常有的事。   埋点类型 根据埋点方式,可以区分为: 手动埋点半自动埋点全自动埋点 秉承“任何事物都有两面性”的道理:自动程度高的,能解决通用统计,便于统一化管理,但个性化定

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

异构存储(冷热数据分离)

异构存储主要解决不同的数据,存储在不同类型的硬盘中,达到最佳性能的问题。 异构存储Shell操作 (1)查看当前有哪些存储策略可以用 [lytfly@hadoop102 hadoop-3.1.4]$ hdfs storagepolicies -listPolicies (2)为指定路径(数据存储目录)设置指定的存储策略 hdfs storagepolicies -setStoragePo

Hadoop集群数据均衡之磁盘间数据均衡

生产环境,由于硬盘空间不足,往往需要增加一块硬盘。刚加载的硬盘没有数据时,可以执行磁盘数据均衡命令。(Hadoop3.x新特性) plan后面带的节点的名字必须是已经存在的,并且是需要均衡的节点。 如果节点不存在,会报如下错误: 如果节点只有一个硬盘的话,不会创建均衡计划: (1)生成均衡计划 hdfs diskbalancer -plan hadoop102 (2)执行均衡计划 hd

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

烟火目标检测数据集 7800张 烟火检测 带标注 voc yolo

一个包含7800张带标注图像的数据集,专门用于烟火目标检测,是一个非常有价值的资源,尤其对于那些致力于公共安全、事件管理和烟花表演监控等领域的人士而言。下面是对此数据集的一个详细介绍: 数据集名称:烟火目标检测数据集 数据集规模: 图片数量:7800张类别:主要包含烟火类目标,可能还包括其他相关类别,如烟火发射装置、背景等。格式:图像文件通常为JPEG或PNG格式;标注文件可能为X

pandas数据过滤

Pandas 数据过滤方法 Pandas 提供了多种方法来过滤数据,可以根据不同的条件进行筛选。以下是一些常见的 Pandas 数据过滤方法,结合实例进行讲解,希望能帮你快速理解。 1. 基于条件筛选行 可以使用布尔索引来根据条件过滤行。 import pandas as pd# 创建示例数据data = {'Name': ['Alice', 'Bob', 'Charlie', 'Dav

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者