不是说 wasm 可以很好抗逆向,为什么很少网站用 wasm 反爬?大部分都还是魔改 js-obfu 和 jsvmp。印象里用 wasm 的只有德国 hetzner 托管的 PoW 验证,但那个只是为了提高计算效率并不是为了防逆向
drymonfidelia · 2 天前 · 1698 次点击我用的浏览器都是关 JIT 关 wasm 的,遇到 wasm 肯定过不去验证,所以我应该是没遇到过(当然也有可能是 wasm 的风控权重很低)
 |
1
lisxour 2 天前
上了一定门槛后的技术主要还是防脚本仔,前端反爬现在说实话都没啥用,全给你上风控系统,你又多了一个账号池的成本,对帐号风控比啥反爬都好使
|
 |
2
flame666 2 天前
现在浏览器的发展本身就很快,看似 wasm 支持的不错,但是很多时候都存在兼容性问题。
|
 |
3
iyyy 2 天前
因为意义不大,wasm 自身逆向不了,调用过程还不能逆向吗
|
 |
4
me1onsoda 2 天前
盲猜是为了 SEO 友好做平衡
|
 |
5
picone 2 天前
wasm 自身并不是说不能逆向,只是说逆向成本大了。比如我之前写的一篇记录逆向 wasm 签名函数的 https://picone.github.io/2023/05/12/exploit-stark-figter.html
另外还有终极办法,动态执行,毕竟动态执行 wasm 难度并不大 |
 |
6
pipixiarwksb 2 天前
@picone #5 老哥可以展开说说吗
|
 |
7
iyiluo 2 天前
不抗逆向,我上个月还看见教程了,抖音专门搞前端逆向的 up ,wasm 一样过验证
|
 |
8
SchwarzeR 2 天前 via Android
不逆向 wasm ,但是拦不住从 wasm 调用的出入口搞 hook
逆向成本一定是提升了,但是想一劳永逸放大佬还是没戏的 [乖乖在服务端做特征风控 |
 |
9
ljl024 2 天前
抗逆向是抗对前端代码的逆向,反爬反的是爬虫对接口的调用
只要前端还需要调用接口,就不影响找到对应的 WASM 方法做调用 |
 |
10
rekulas 2 天前
和开发者经验很有关系吧,js 的反逆向经验已经很熟练了,反之 wasm 的反逆向估计研究的还不多毕竟新东西,如果因为上了二进制就安全了然后用常规思维来写 wasm ,可能难度还不如混淆的 js
|
 |
11
naythefirst01 2 天前
你可以试试用 Emscripten 把 C/C++代码分别输出为 js 代码和 wasm 再看看难度,个人感觉输出为 js 代码更难分析
|
 |
12
shijingshijing 2 天前
@lisxour 也就国内这种不登录不给看的可以这样搞,但凡是有匿名访问需求的,帐号池怎么弄?还得靠 Cloudflare 那一套用户画像+高防来应对。
|
Select Language