关于javascript:羊了个羊-客户端暴露后台密钥-可以直接修改后台数据

28次阅读

共计 685 个字符,预计需要花费 2 分钟才能阅读完成。

最近两天羊了个羊忽然大火,我在前晚还是第一次听到这个名词,第二天就看到身边人都在玩这个了。还看到羊了个羊日入几百万,日活千万,赚广告费都赚到手软了之类的微博音讯。

​ 随着羊了个羊的爆火,不晓得有多少人因为过不去第二关而暗自上火,通宵熬夜玩的人预计是不可胜数。作者自己就是,原本是打算睡觉之前打一把助眠游戏而后开开心心睡觉的。后果不小心点开了羊了个羊,卡在第二关怎么都过不去,大动肝火,天都亮了还没过来。

​ 随后我就打算去剖析羊了个羊的关卡机制,通过抓包发现,羊了个羊的代码竟然是裸奔的,齐全没有任何 js 加密等平安解决。我通过网络资源的搜寻,还发现其余作者发现了羊了个羊某些要害接口和参数的裸露

而后到当初为止,羊了个羊的省排行爆出了惊人的问题,从最开始大家都只有几千只羊,到当初所有榜单都是 99999 只羊。技术人员各展神通,通过各种办法通过舞弊伎俩去刷出厉害的问题。

像呈现羊了个羊这种状况的次要起因是。

1. 首先官网可能没有想到游戏会这么火,并没有设计反作弊程序。

2. 代码在前端开源透明化,只有有一点技术根底的人就能够通过抓包等伎俩去获取 js 代码。

3. 接口加密形式太简略

那么解决办法是什么呢?

在游戏整体框架曾经设计好的前提下,如果不不便再退出反作弊程序,那么只能从 2、3 下手。

应用 sojson.v6 或者 jsjiami 对源代码进行一键 js 加密,让他人即便反编译了你的小程序或小游戏,拿到的 js 也是一键加密后的 js 代码,这样他人拿到你的 js 代码也是无奈剖析的。

当然了,光靠 jsjiami 是不够的,还要将接口的参数加密一下,双重加密的状况下,他人即便抓包拿到了你的接口也是无奈应用的。

正文完
 0