绕过小程序签名验证_微信排序小程序可以作假吗

在一些关键业务接口通常会对请求参数进行签名验证，一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中，如果没办法绕过签名校验，那么就无法进一步漏洞检测。

微信小程序的前端代码很容易被反编译，一旦签名加密算法和密钥暴漏，找到参数的排序规则，那么就可以篡改任意数据并根据算法伪造签名。

01、常见签名算法

首先呢，我们需要注意的是，加密和签名是两回事，加密是为了防止信息泄露，而签名的目的是防止数据被篡改。
哈希算法的不可逆，以及非对称算法(私钥签名，公钥验签)，为签名的实现提供了必要的前提。

常见的签名算法，如MD5、SHA1、SHA256、HMAC-SHA1、HMAC-SHA256、MD5WithRSA、SHA1WithRSA 、SHA256WithRSA等。
各种签名示例如下：

02、RSA签名绕过

比如在一个微信小程序游戏的场景里，用户在游戏结束的时候，需要将游戏成绩发送到后端，以此来记录玩家的分数。因调用API时对请求参数进行签名验证，服务器会对该请求参数进行验证是否合法，所以当我们尝试去篡改游戏成绩的时候，就会提示签名异常。那么，该如何破局呢？