大多数App、Web等需要和服务器交互的程序中,为了保证请求是由程序自己发出的,通常会结合参数和时间戳通过一些算法来生成一个signature,即签名
服务器再通过上述参数和算法同样生成sig,与请求中携带的sig进行比较,不符则认为是第三方调用的,进行特殊处理
于是攻击者也会试图获得sig,一种方法是静态分析算法,用脚本如法炮制
静态的防御通过混淆、加壳等手段可以比较好的增加难度
而另一种方法是将其视为黑盒,通过Hook/Patch等方法注入payload,然后通过各种方法调用该sig,甚至直接自行构造程序来调用该库/函数
这种方法对于工程化的大型APP,由于通常签名相关的和业务开发的分属两个部门,
对应的开发者可以通过打印堆栈信息、检测调用链、自校验签名来反制上述手段
同样的攻击者也可以继续Hook PrintStackTrace方法、getSignatrue方法等来绕过
于是就陷入了无尽的攻防中
最好的手段自然是开发者站在更高一级的角度,从服务器端分析数据发现异常然后做处理
然而有时由于种种条件的限制并不具备这种能力,那么就要从程序开发的角度,尽量避免陷入无尽的攻防中。例如将检测隐藏在深处,并且不直接产生反馈,即不让攻击者明显感知到防御,而在服务端进行一定程度的特殊处理,例如返回假数据等等