微信小程序的反编译最近公司想做地图业务,但是考虑到数据的重要性,为了确保程序的安全性,需要从多个角度进行评价。经过长期的调查,微信小程序可以防止抓住别人的包因此,只能加强程序代码。 主要方法如下。
1 .在接口通信级别添加signature,在后台获取参数后进行解密比对,不一致则直接返回错误。
2 .界面次数限制,为了防止他人频繁刷后台界面,界面需要对同一用户进行次数限制。
3 .数据加密需要接口返回值,然后在后台对称加密,在前端解密,这样别人就不容易获取数据。
以上是目前认为的安全措施,但由于小程序本身是可读的,以上方案目前不太安全,但能起到一定的保护作用。 关于小程序的解读可能有很多人不知道。 我以为小程序是微信。 微信的安全性会变高,无法解读。 事实并非如此。
因此,我对OFO小程序进行了编译和解密,深入了解了情况,调查了我们的加密是否安全。 如果解密后,代码被暴露也没错,公钥和算法很容易得到,说明前端是绝对不安全的。
一、下载网络模拟器
mumu.163.com/baidu/
根据自己的系统选择并安装对应的软件。
安装成功后,如下所示。
二、在重新模拟器上安装对应的软件(微信、RE文件管理器)
1 .打开APP应用中心,搜索并分别下载RE文件管理器和微信
2 .打开微信,输入帐户登录,登录成功后,单击发现,然后单击小程序
3 .搜索办公小黄车
4 .打开办公小黄车的官方版本
这个页面可能打不开。 可能是模拟器的问题,没关系。 小程序文件已下载到本地。
三.打开RE文件管理器
1 .进入目录:/data/data/com.Tencent.mm/micro msg
此下存储各种文件,未登录的用户将生成散列列作为用户id
如上图所示,我登录了两个微信账户,生成了两个哈希字符串。
2 .选择任何用户并进入,验证该用户是否单击了ofo小程序。 (如果您只登录过一个帐户,则其中只有一个散列字符串。)
进入App品牌。 其中包含两个文件夹。 一个是可执行文件(pkg ),另一个是jscache )缓存文件
4 .打开pkg文件夹
包含打开的applet的可执行文件,查找ofo的文件进行;
a .单击并长按鼠标,右侧将显示选项
b .选择创建tar文件
c .然后选择“不压缩”、“压缩成功”,再选择“显示”,将移动到显示目录,显示刚刚压缩的tar文件
5 .鼠标长按此文件,在右侧选择发送,然后通过微信发送给对应的朋友。 不能直接复制到自己的电脑上。 只能通过微信接收。
四.小程序源代码的编译
1 .打开终端,在git下载代码
必须依赖git clone https://github.com/qwerty 472123/wxappunpacker.git复制代码的安装,并在安装之前安装Node环境(提供安装方法) nodewuwxapkg.JSC :work _ ppackwxapp _ app )。 _362760388_3.wxapkg//Mac系统nodewuwxapkg.js/users/jacksoft/desktop/_-1050685970 _ 73.wxa PK复制代码执行
目录结构:
页面结构:
以上是OFO小程序的解读顺序。 打开编辑器查看代码,发现其可读性非常好、结构完整、某些变量混淆,即使存储了公钥和算法也可以发现和研究,因此前端绝不安全。
我们能做的就是先让自己变强,变强,然后有人攻击你。 对小企业应该考虑的是,它不安全,如何快速增长和壮大。