这次分析的目标很明确:把 com.mlfiwe.fro 常规 API 的请求头校验和返回解密流程拆出来。
它和常见的 URL sign 不太一样。请求侧的关键点藏在几个 X-App-* 请求头里,响应侧的业务内容则包在 data.result 里的 enc: 密文中。只靠抓包能看到外壳,但看不到真正的明文结果。
一、这次要解决什么
目标主要有两件事。
- 还原常规 API 请求头的生成规则。
- 解开服务端返回的
enc:加密结果。
这条链路的重点在两个算法本身:请求头里的应用身份如何生成,返回里的 enc: 密文如何还原成明文 JSON。
本内容需要登录后查看