前端JS签名算法伪造与H5游戏加分逻辑攻击分析<\/h1>

1. 攻击背景与概述<\/h2>
本文详细分析了一种针对H5游戏的分数篡改攻击方法，攻击者通过逆向前端JavaScript代码，伪造签名算法，成功实现了游戏分数的非法增加。这种攻击方式属于典型的客户端安全漏洞，暴露了仅依赖前端验证的安全风险。<\/p>

2. 攻击步骤详解<\/h2>

2.1 初步分析<\/h3>

目标识别<\/strong>：选择一个数钱类H5游戏作为目标<\/li>
开发工具使用<\/strong>：通过浏览器F12开发者工具查看前端JS代码<\/li>

技术栈识别<\/strong>：确认前端使用Vue.js开发，Webpack打包，代码经过混淆压缩<\/li> <\/ol>
2.2 网络请求分析<\/h3>

抓包工具<\/strong>：使用Fiddler捕获游戏过程中的网络请求<\/li>
关键接口<\/strong>：发现分数提交接口：
POST https:\/\/testgame.xxxx.cn\/api\/services\/app\/Game\/AddGameScore <\/code><\/pre> <\/li> 请求头分析<\/strong>：使用Bearer Token认证<\/li> Content-Type: application\/json<\/li> <\/ul> <\/li> <\/ol> 2.3 代码逆向<\/h3> JS美化<\/strong>：对混淆的JS代码进行格式化处理<\/li> 接口搜索<\/strong>：在JS文件中搜索"AddGameScore"关键词，发现两处引用<\/li> 参数分析<\/strong>：发现scoreUrl标识<\/li> 请求参数包含4个字段，其中第二个为游戏分数<\/li> 第三个参数s是一个签名值，由MD5哈希生成<\/li> <\/ul> <\/li> <\/ol> 2.4 签名算法破解<\/h3> 签名算法公式：<\/p> s = MD5(分数 + "|" + accessToken的第二部分 + "|" + windows.pubParams.id) <\/code><\/pre> 具体步骤：<\/p> 从Authorization头中提取accessToken： eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54...rArdySnm5mCiYrm_QanbGZE50Aw6PQINOvCZl7FQ3KA <\/code><\/pre> <\/li> 取accessToken以"."分割的第二部分<\/li> 通过控制台获取windows.pubParams.id<\/code>值为1626<\/li> 示例签名计算：输入：2000|rArdySnm5mCiYrm_QanbGZE50Aw6PQINOvCZl7FQ3KA|1626 MD5结果：c0cd28260b42bc14808689782151e112 <\/code><\/pre> <\/li> <\/ol> 2.5 攻击实施<\/h3> 构造恶意请求：<\/p> POST<\/span> https:\/\/xxxx.cn\/api\/services\/app\/Game\/AddGameScore HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Authorization:<\/span> Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8v...<\/span> <\/span><\/span>Content-Type:<\/span> application\/json<\/span> <\/span><\/span> <\/span><\/span>{ <\/span><\/span> "score"<\/span>: 2000<\/span>, <\/span><\/span> "s"<\/span>: "c0cd28260b42bc14808689782151e112"<\/span>, <\/span><\/span> \/\/ 其他必要参数 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>2.6 重放攻击<\/h3> 攻击者可重复发送相同请求实现分数多次增加，通过Fiddler工具批量发送约20次请求，成功刷分至排行榜第一。<\/p> 3. 漏洞原理分析<\/h2> 签名算法暴露<\/strong>：签名逻辑完全暴露在前端，可被逆向<\/li> 缺乏时效性验证<\/strong>：签名没有时间戳，允许重放攻击<\/li> 关键参数可预测<\/strong>：windows.pubParams.id等参数容易获取<\/li> 无服务端二次验证<\/strong>：仅依赖前端提交的签名验证<\/li> <\/ol> 4. 防御方案<\/h2> 4.1 防止重放攻击<\/h3> 时间戳机制<\/strong>：<\/p> 签名加入timestamp参数<\/li> 服务端验证时间窗口（如±5分钟）<\/li> 示例：微信支付的时间戳验证机制<\/li> <\/ul> <\/li> 序号机制<\/strong>：<\/p> 通信双方维护序列号<\/li> 每次请求序列号递增<\/li> <\/ul> <\/li> 挑战-应答机制<\/strong>：<\/p> 服务端下发随机nonce<\/li> 客户端应答需包含nonce或f(nonce)<\/li> <\/ul> <\/li> <\/ol> 4.2 服务端增强<\/h3> 业务规则限制<\/strong>：<\/p> 分数增加频率限制<\/li> 单次分数增幅上限<\/li> 总分合理范围校验<\/li> <\/ul> <\/li> 风控系统<\/strong>：<\/p> 异常行为检测<\/li> 用户行为分析<\/li> <\/ul> <\/li> 接口限流<\/strong>：<\/p> IP\/用户频率限制<\/li> 滑动窗口算法实现<\/li> <\/ul> <\/li> 验证码<\/strong>：<\/p> 高频操作引入行为验证码<\/li> 关键操作二次确认<\/li> <\/ul> <\/li> <\/ol> 4.3 前端加固<\/h3> 代码混淆加强<\/strong>：<\/p> 使用UglifyJS2进行属性名混淆<\/li> 控制流扁平化<\/li> 字符串加密<\/li> <\/ul> <\/li> 环境检测<\/strong>：<\/p> 浏览器指纹验证<\/li> 调试工具检测<\/li> <\/ul> <\/li> 关键逻辑隐藏<\/strong>：<\/p> 将敏感计算移至Web Worker<\/li> 使用WebAssembly实现核心算法<\/li> <\/ul> <\/li> <\/ol> 5. 总结与建议<\/h2> 安全原则<\/strong>：<\/p> 永远不要信任客户端提交的数据<\/li> 关键逻辑必须在服务端验证<\/li> 最小化暴露给客户端的信息<\/li> <\/ul> <\/li> 开发建议<\/strong>：<\/p> 安全设计应贯穿整个开发周期<\/li> 定期进行安全审计和渗透测试<\/li> 关注OWASP等安全组织的建议<\/li> <\/ul> <\/li> 应急响应<\/strong>：<\/p> 建立漏洞响应机制<\/li> 关键系统准备热修复方案<\/li> 日志记录和审计追踪<\/li> <\/ul> <\/li> <\/ol> 通过本案例可以看出，仅依赖前端的安全措施是极其脆弱的。开发者必须建立纵深防御体系，结合前后端多种防护手段，才能有效防范此类攻击。<\/p>