* 所有相关信息仅技术学习调研，不公开任何侵犯公司价值信息，若有侵犯，请联系删除

之前分析了PC端，目前尝试分析app端

抓包，分析请求过程

post请求过程，传递参数是一个base64加密

解密后

ciphertext

PC端有进行分析

id

一个请求时间

获取响应结果：

与pc端一致，一个des加密

密钥[……]

阅读全文

* 所有相关信息仅技术学习调研，不公开任何侵犯公司价值信息，若有侵犯，请联系删除

社区做了层客户端验签安全验证，限制恶意“攻击”，验证值：X-Request-Id

跟进分析安全算法逻辑  发现webpack打包，

webpack :

很棒的模块化，能处理各种包之间依赖关系，但是代码难懂，繁琐，调试学习体感相当不好，各种模块之间跳转，定位不知道具体跳到哪里。

疑问：一般[……]

阅读全文

* 所有相关信息仅技术学习调研，不公开任何侵犯公司价值信息，若有侵犯，请联系删除

尝试使身份失效后发现

随机生成一个arg1 ，通过arg1，混淆验签身份

调研过程

发现两层混淆

第一层很快可以实现

第二层做了定时等待，应该是为了非异步亦或是安全问题，第一轮无法验签，必须走第二轮，实现除了混淆中规中矩

重新测试，身份通过[……]

阅读全文