微信小程序API请求加解密揭秘

前端

2024-02-12 04:57:01

在微信小程序开发中，API请求加解密是一项重要的安全措施，它可以防止未经授权的第三方访问和篡改敏感数据。理解和掌握小程序API请求加解密的机制，对于保障应用程序的安全至关重要。

从抓包开始

破解微信小程序API请求加解密的第一步是抓包。可以使用Charles、Fiddler等抓包工具，拦截小程序发送和接收的网络请求。通过分析抓包数据，我们可以获取到加密后的请求参数和响应结果。

解密加密参数

微信小程序使用AES-CBC模式对请求参数进行加密。要解密加密参数，需要知道以下信息：

AES密钥： 32字节的密钥，由微信服务器生成。
CBC IV： 16字节的初始化向量，用于防止相同的明文产生相同的密文。

AES密钥和CBC IV通常存储在小程序源码中。可以通过反编译小程序源码，获取到这些信息。

构建解密函数

掌握了必要的参数后，就可以构建解密函数了。以下是Python语言的示例代码：

import base64
import Crypto.Cipher.AES

def decrypt(encrypted_data, aes_key, iv):
    """解密微信小程序API请求参数。

    Args:
        encrypted_data (bytes): 加密后的请求参数。
        aes_key (bytes): AES密钥。
        iv (bytes): CBC初始化向量。

    Returns:
        bytes: 解密后的请求参数。
    """

    cipher = Crypto.Cipher.AES.new(aes_key, Crypto.Cipher.AES.MODE_CBC, iv)
    decrypted_data = cipher.decrypt(encrypted_data)
    decrypted_data = decrypted_data[:-decrypted_data[-1]]
    return decrypted_data

分析解密结果

解密完成后，就可以分析解密结果了。解密后的请求参数通常包含以下信息：

appId： 小程序appId。
timestamp： 请求时间戳。
nonceStr： 随机字符串。
signature： 签名，用于验证请求的有效性。

解密加密响应

除了请求参数，微信小程序的API响应也经过加密。响应内容通常使用AES-GCM模式加密。解密响应内容需要知道以下信息：

AES密钥： 同请求参数解密使用的AES密钥。
GCM IV： 12字节的IV，由微信服务器生成。
附加认证数据（AAD）： 用于验证响应完整性的数据，通常包含请求URL和响应头信息。

构建解密函数

掌握了必要的参数后，就可以构建解密函数了。以下是Python语言的示例代码：

import base64
import Crypto.Cipher.AES
import Crypto.Util.Counter

def decrypt_response(encrypted_data, aes_key, gcm_iv, aad):
    """解密微信小程序API响应内容。

    Args:
        encrypted_data (bytes): 加密后的响应内容。
        aes_key (bytes): AES密钥。
        gcm_iv (bytes): GCM IV。
        aad (bytes): 附加认证数据。

    Returns:
        bytes: 解密后的响应内容。
    """

    counter = Crypto.Util.Counter.new(96)
    cipher = Crypto.Cipher.AES.new(aes_key, Crypto.Cipher.AES.MODE_GCM, gcm_iv, counter)
    cipher.update(aad)
    decrypted_data = cipher.decrypt_and_verify(encrypted_data)
    return decrypted_data