应用中的Cracksafe认证系统
本文关键字:认证 系统 Cracksafe 应用 | 更新日期: 2023-09-27 18:11:01
我们正在开发在线软件,需要用户名/通过认证到我们的服务器。有两种用户(付费用户和免费用户)。当然,付费用户应该拥有与免费用户不同的功能。不幸的是,我们的应用程序在每个新版本发布后的1-2周内就被破解了。我们希望为现有的身份验证系统或能够完成该工作的专家付费,这使得cracker尽可能地难以实现。我们有一些防破解的经验,但这次我们不知道了。
这是我们尝试过的:-将认证分为两部分(AES-256发送和AES-256接收,每个会话都有自己的nonce - 8char静态nonce和24char灵活nonce)两个部分都用两个不同的混淆器(EAzfuscator +虚拟化特性和ConfuserEx +虚拟化特性)进行了混淆。-几个killswitch- MD5检查(他们没有帮助,因为骇客正在创建一个"加载器",模拟我们的认证服务器)
你知道有哪家公司提供这种服务吗?应用程序是用c#编写的让你的应用程序在每次向服务器发送任何内容时生成一个随机令牌字符串。然后让服务器根据令牌将加密字符串发送回应用程序。如果来自服务器的加密令牌字符串解密为内存中的原始随机令牌字符串,则允许软件继续....否则停止执行。这将停止加载程序。
当您以纯文本发送响应时,骇客可以很容易地欺骗它,因为他们知道如何模仿它。对返回的响应进行加密,使其每次都是随机的,这样更难破解。