跳至主要內容

网站逆向与自动化滥用及防御:学习文档

安全逆向分析自动化风控Mermaid约 2012 字大约 7 分钟

网站逆向与自动化滥用及防御:学习文档

简介

随着互联网应用的发展,许多网站和应用程序需要将一部分代码和协议下发到客户端执行。攻击者通过“逆向分析”这些客户端代码和通信协议,可以了解应用的业务逻辑,从而设计出绕过风控的自动化程序。OWASP 指出,许多自动化威胁并非传统的漏洞利用,而是滥用系统本身提供的合法功能,例如接口、业务流程和试用机制[1]

客户端逆向与攻击面

逆向通常从获取客户端代码和网络协议开始。对于 Web 应用,攻击者可以在浏览器开发者工具中查看下载的 JavaScript、WebAssembly 代码、接口调用以及存储的 token;对于移动 APP 或小程序,攻击者可以分析安装包、监控网络请求或 hook 运行时函数来还原业务逻辑。通过这些信息可以推断出参数生成逻辑、签名算法、风控字段等,从而模拟合法请求。

图 1:逆向攻击链流程。

成熟平台为何仍会遭到逆向和滥用

即便大型平台投入大量精力进行安全加固,自动化滥用仍然存在。网站必须向合法用户开放,所以任何客户端都可以观察接口格式、状态码和业务规则。攻击者利用代理池、设备池和账号池,并配合脚本化工具来复现正常用户操作。Queue-it 的研究指出,在某次演唱会抢票活动中,机器人流量占总流量的 96%,只有 4% 的用户是真正的消费者[2];在整体票务市场中机器人流量接近 40%[2:1],说明自动化滥用已形成产业。Imperva《2025 Bad Bot Report》发现,2024 年全球网络流量中 51% 来自自动化程序,其中 37% 属于恶意机器人,而好机器人只占 14%[3]。报告还指出,21% 的恶意机器人攻击通过住宅代理进行,以伪装成真实用户[3:1]

图 2:票务机器人工作流程。

攻击者方法论与资源

攻击者通常会按照固定链条开展工作:首先逆向客户端获得接口和参数,再通过脚本自动化模拟正常行为;随后利用设备指纹、代理池和账号池来伪装不同用户,从而绕过速率限制和风控阈值。他们还会持续试探系统边界,通过分析返回提示和失败原因来微调参数。攻击者为了提升成功率,会投资设备池、代理池和账号池,借助“刷量平台”集中运营账号,模拟真实用户的速度、节奏和点击行为。

图 3:分层防御原则示意。

防御原则

为了应对逆向和自动化滥用,可以遵循以下原则:

  • 不信任客户端:不要把密钥、权限标志或关键逻辑下放到前端。所有敏感信息和权限判断必须在服务端完成。
  • 分层风控:对不同价值的接口使用不同的风控强度,如登录、领取权益、下单等。使用 IP、设备指纹、会话行为、账号信誉等多维信号综合评估风险。Cloudflare 提到,JA3/JA4 指纹可以跨 IP、端口识别 TLS 客户端特征,用于辅助识别自动化程序[4]
  • 行为建模:不要仅依赖鼠标轨迹或随机延时,而是结合具体业务建模正常用户的操作顺序、停留时间和重试节奏。
  • 业务规则设计:降低拼手速的环节,对高价值操作使用排队令牌、预约制度或异步结果,减少暴力重试的价值。
  • 验证机制:使用验证码或风险评分。reCAPTCHA v3 会根据用户行为和设备数据给出 0-1 之间的分数,管理员需要根据分数决定放行、阻断或二次验证[5]

案例:校园跑步系统滥用

某些校园跑步 APP 要求学生每天在指定区域跑步并上传轨迹记录,有学生将账号密码提供给第三方代跑平台。代跑平台通过模拟 GPS 信号生成看似真实的轨迹(包括路线、配速、心率和卡路里),并在不同校区之间提供模板。系统漏洞通常在于:服务端过于相信客户端上传的结果,只检查里程和配速是否在区间,而忽略了时间戳连续性、轨迹噪声、路径自然性和设备会话一致性。防御思路包括:将跑步过程与结果绑定,服务端生成并核对时间戳;限制历史补录;构建轨迹特征模型,识别模板化轨迹;检测同一设备批量登录多个账号等异常行为。

图 4:校园跑步代跑攻击流程。

案例:校园签到系统绕过

某校园小程序要求学生进入应用并开启定位完成签到。有学生不在校内,于是攻击者让学生先用微信扫码授权登录浏览器端,随后在浏览器中伪造地理位置提交签到请求。问题在于系统将微信扫码视为绝对信任,允许浏览器会话执行签到动作,且位置验证仅依赖浏览器提供的经纬度。正确做法是:将签到操作限制在受控环境(APP 或小程序)中执行;浏览器扫码登录只授予只读权限,不允许敏感操作;对位置敏感动作要求二次确认;识别多账号共享同一浏览器环境的异常模式。

图 5:校园签到绕过示意。

结论

逆向分析和自动化滥用是现代 Web 和移动应用面临的主要安全威胁。攻击者依托公开的客户端代码和协议,结合自动化工具和资源池可以绕过风控并薅取资源。防守方不能依赖客户端加密或简单验证码,必须从架构、业务和风控层面综合设计,降低自动化套利的经济性,让攻击者难以获得稳定收益。

参考文献

  1. OWASP. 2023. "Automated Threats to Web Applications." https://owasp.org/www-project-automated-threats-to-web-applications/ ↩︎

  2. Queue-it. "Ticket Bots: The Scalper's Illicit Advantage." https://queue-it.com/blog/ticket-bots/ ↩︎ ↩︎

  3. Imperva. "2025 Bad Bot Report." https://cpl.thalesgroup.com/sites/default/files/content/campaigns/badbot/2025-Bad-Bot-Report.pdf ↩︎ ↩︎

  4. Cloudflare. "JA3/JA4 Fingerprints." https://developers.cloudflare.com/bots/additional-configurations/ja3-ja4-fingerprint/ ↩︎

  5. FriendlyCaptcha. "reCAPTCHA v3 Explained." https://friendlycaptcha.com/insights/recaptcha-v3/ ↩︎

最近更新
贡献者: WHaoxM