js逆向之常见的压缩和混淆

最新推荐文章于 2024-04-20 09:43:20 发布
最新推荐文章于 2024-04-20 09:43:20 发布
阅读量991 收藏
点赞数
分类专栏: js逆向 文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Deng872347348/article/details/127334340
版权

js逆向之常见的压缩和混淆

在Web系统发展早期,Js在Web系统中承担的职责并不多,Js文件比较简单,也不需要任何的保护。随着Js文件体积的增大和前后端交互增多,为了加快http传输速度并提高接口的安全性,出现了很多的压缩工具和混淆加密工具。

代码混淆的本质是对于代码标识和结构的调整,从而达到不可读不可调用的目的,常用的混淆有字符串、变量名混淆,比如把字符串转换成_0x,把变量重命名等,从结构的混淆包括控制流平坦化,虚假控制流和指令替换,代码加密主要有通过veal方法去执行字符串函数,通过escape()等方法编码字符串、通过转义字符加密代码、自定义加解密方法(RSA、Base64、AES、MD5等),或者通过一些开源的工具进行加密。

另外目前市面上比较常见的混淆还有ob混淆(obfuscator),特征是定义数组,数组位移。不仅Js中的变量名混淆,运行逻辑等也高度混淆,应对这种混淆可以使用已有的工具ob-decrypt或者AST解混淆或者使用第三方提供的反混淆接口。大家平时可以多准备一些工具,在遇到无法识别的Js时,可以直接使用工具来反混淆和解密,当然逆向工作本身就很看运气。

  • 例如翻看网站的Javascript源代码,可以发现很多压缩或者看不太懂的字符,如javascript文件名被编码,文件的内容被压缩成几行,变量被修改成单个字符或者一些十六进制的字符——这些导致我们无法轻易根据Javascript源代码找出某些接口的加密逻辑。

4.1 JavaScript压缩

这个非常简单,Javascript压缩即去除JavaScript代码中不必要的空格、换行等内容或者把一些可能

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Deng872347348
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
JS代码压缩混淆工具使用说明
nh18304030935hn的博客
01-16 1万+
本文介绍的是常见的3种工具的使用说明情况。 三种工具为:   1.Google Closure Compiler(本文简称GCC,下文同样)   官网:https://developers.google.com/closure/compiler/   Google出品的JS代码压缩/混淆工具。目前微信插件使用的就是GCC.   2.Yahoo Yui Compressor(本文简称Y
JS反解压反混淆超好用的小工具
01-06
对于查看被混淆JS代码的程序员有很大帮助,可以使混淆后的JS代码格式化成日常编码的书写格式,让代码还原到美观,高可读性的状态。
js压缩混淆和加密
我们仨
03-20 3297
点击这里查看原文 ================================= 1.关于三者的定义与区别 压缩:删除 Javascript 代码中所有注释、跳格符号、换行符号及无用的空格,从而压缩 JS 文件大小,优化页面加载速度。 混淆:经过编码将变量和函数原命名改为毫无意义的命名(如function(a,b,c,e,g)等),以防止他人窥视和窃取 Javascript 源代码,也有一定压缩效果。 加密:一般用eval方法加密,效果与混淆相似,也做到了压缩的效果。 从定义中可以看出,压缩
文章向大家介绍安卓逆向,解决app抓包抓不到的问题,主要包括安卓逆向,解决app抓包抓不到的问题使用实例、应用技巧
阿里大叔说测试的博客
11-29 3622
本文章向大家介绍安卓逆向,解决app抓包抓不到的问题,主要包括安卓逆向,解决app抓包抓不到的问题使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。有时候app抓不到包,这不是工具的问题,而是你没有搞清楚网络协议,
探秘开源工具 `ob-decrypt`:数据解密与隐私保护的新利器
最新发布
gitblog_00042的博客
04-20 338
探秘开源工具 ob-decrypt:数据解密与隐私保护的新利器 项目地址:https://gitcode.com/DingZaiHub/ob-decrypt 在数字化时代,数据安全和隐私保护已成为我们关注的重要议题。今天我们要介绍一个非常实用的开源项目——ob-decrypt,它是一个用于解密混淆数据的小型工具,能够帮助开发者和普通用户在不损害安全性的情况下,解析加密或混淆的信息。 项目简介 ob...
JavaScript 逆向调试技巧
somersames的博客
06-09 1040
前段时间尝试对某音的 PC 端进行了逆向,目前已经全部逆向出来了,在这里总结下一些调试技巧和总结。
Android逆向fiddler抓包工具——理解HTTP协议
m0_70748845的博客
11-10 785
fiddler左边是抓到包的列表,列表的内容是不断的变化,这是很正常的,因为只要你的电脑与网络进行一次交互,就会进行http抓包.抓包工具有很多,我们在这里主要研究http,因此我们简单的下载一个http的抓包工具即可.进fiddler官网直接在浏览器搜索fiddler即可,记住一定要进官网.怎么辨别官网呢?右下角会有官网网站显示,比如fiddler,页面上会显示与fiddler相关的东西.点进去下载经典版经典版是免费的版本,有这一款填写相关信息进行下载。
js代码压缩混淆
undertakerman的博客
03-20 322
/ 目标文件夹路径,用于存放压缩后的 JS 文件。// 源文件夹路径,包含要压缩JS 文件。// 遍历源文件夹下的所有文件。// 只处理文件,忽略子文件夹。// 指定要混淆的文件夹路径。// 遍历文件夹中的所有文件。// 只处理 .js 文件。// 确保目标文件夹存在。// 开始遍历文件夹。
js代码压缩混淆uglify
lvlei19911108的博客
06-06 134
-c压缩,-m混淆命名,-b格式化输出js文件(否则为只有一行),-o目标输出文件。压缩一个文件:uglifyjs main.js -o publish/main.js -c -m -b压缩多个文件(支持文件夹通配符):uglifyjs src/* main.js -o publish/min.js -c -m -b...
JS逆向---令人抓狂的JavaScript混淆技术
m0_52336378的博客
08-16 4658
JavaScript 压缩混淆和加密技术JavaScript 代码运行于客户端,也就是它必须要在用户浏览器端加载并运行。JavaScript 代码是公开透明的,也就是说浏览器可以直接获取到正在运行的 JavaScript 的源码。声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
js逆向实战
orange777
04-22 2383
前言 当我们在做渗透测试时候,有时候经常会遇到登录位置进行了加密,通过普通的md5解码等是没办法解密的,开发者为了保护传输数据不被窃取,通常会自定义一些加密算法进行加密传输,如下: 访问系统http://ycsjyh.duobashuzi.com:8889/toLogin 发现用户名和密码都进行了加密,通过普通的base64解码是无法解码的 js逆向分析 需要定位到加密函数,打断点 Crtl+Shift+F定位到加密函数encrypt 搜索CryptoJS,定位到aes.js文件(直接在本地执行encr
JS 压缩混淆
星宇大前端
07-19 1817
概念介绍 昨天接到了一个任务,H5  app 的JS CSS 需要压缩混淆。 然后怎么办呢? 首先理解下压缩混淆是指什么 压缩 compress: 去掉空格,换行,注释等,格式紧凑,节约存储空间。 混淆 obfuscate/garble:替换变量名或方法名,让js不容易看懂。也做到了压缩的效果。 加密 encrypt:一般用eval方法加密,效果与混淆相似。也
js压缩混淆工具
07-02
js压缩混淆工具,具有良好的操作界面,可对文件夹下的js文件或js代码块进行压缩混淆
web代码混淆方案.混淆js代码,压缩css代码
12-24
web代码混淆方案.混淆js代码,压缩css代码 什么?右击网页就能看到JS,CSS源代码?!别人抄起来岂不是太容易了? 所以我们要混淆,压缩JS,CSS代码,即防止别人抄走修改,又能节省网络流量
几款极品的javascript压缩混淆工具
12-10
个人首推MemTronic’s FREEWARE HTML/JavaScript Cruncher-Compressor v1.0k压缩效果好得不一般,混淆出来的代码完全不可读,压缩率可达50%,IE 5+ / NS 7.0 / Mozilla / Opera 7.0 中均可使用第二款,我推荐Rob Seiler的packer这款压缩混淆工具效果也不错,有三种版本,.Net,Perl,和WSH版本,Windows平台下WSH脚本比较适合,命令行操作,有详细的说明第三款,Saltstorm出品的ESC这款工具可自定义压缩级别和是否进行混淆,当然缺点也不是没有,压缩效果一般,而且要求每个JS语句必
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
同时,对JavaScript语言本身的特性和常见混淆技术有深入的理解也是十分重要的,这样才能更好地理解和还原混淆后的代码。总之,JavaScript逆向学习是一项需要耐心和技术积累的工作,通过不断的实践和学习,可以提升...
javascript逆向 js混淆 乱码增强 js逆向学习
03-08
学习 JavaScript 逆向工程和混淆技术旨在加强对代码安全性的认识和保护。了解如何混淆 JavaScript 代码、增强其安全性,以及防止逆向工程是开发人员重要的技能之一。通过学习逆向工程,可以更好地理解代码运行原理,...
js 逆向实战之OB反混淆,抓包替换
01-24
js 逆向实战之OB反混淆,抓包替换
Python和js实现逆向之加密参数破解.zip
06-27
部分网站的 url 构成中含有加密参数,这些参数的加密方法写在了 JavaScript 中,而 js 通常经过了压缩混淆和加密;本项目通过 AJAX 断点,hook 方法先寻找到加密入口,其次通过 playwright 将加密方法挂载到 ...
js混淆压缩 工具
07-26
### 回答1: JS混淆压缩工具是一种用于还原经过混淆压缩处理的JavaScript代码的工具。JavaScript代码经过混淆压缩处理后,变量名、函数名和代码结构都被改变,使得代码变得难以阅读和理解。 反混淆是指通过逆向工程的方法,还原被混淆处理的代码。这样可以使开发人员更容易理解代码逻辑和修改代码,也有助于安全研究人员分析代码漏洞。 反压缩是指将经过压缩处理的代码还原为可读性更好的形式。在代码压缩过程中,会删除空格、缩进、注释等,同时对代码进行重写以减少文件大小。反压缩工具可以还原代码结构,使之恢复为可读性更好的形式。 JS混淆压缩工具一般通过解析和重构混淆压缩后的代码来实现。它们可以自动还原变量名、函数名,修复语法错误,还原代码结构,保留注释等。常见的反混淆压缩工具有UglifyJS、Terser、Babel等。 但是需要注意的是,即使使用了反混淆压缩工具,完全还原出原始代码可能是不太可能的。因为混淆压缩过程中可能还进行了其他特殊处理,如删除无用代码、代码优化等。此外,反混淆压缩工具只适用于用于学习和分析代码,不应用于非法用途,以保护代码作者的合法权益。 ### 回答2: JS混淆压缩工具是一种用于还原经过混淆压缩处理的JavaScript代码的工具。由于混淆压缩会使代码变得难以阅读和理解,而且容易隐藏恶意代码,因此反混淆压缩工具对于安全性和代码维护性非常重要。 JS混淆工具的主要功能是将经过混淆处理的代码还原为易读的形式。它可以根据一些特定的识别规则,识别和还原变量名、函数名等混淆后的标识符。通过反混淆,我们可以更容易地理解代码的逻辑和结构,提高代码的可维护性和可读性。 JS压缩工具的主要功能是将经过压缩处理的代码还原为格式化的形式。它可以自动添加换行、缩进和空格等,使得代码更易于阅读和编辑。反压缩可以帮助开发人员更方便地调试和修改代码,提高开发效率。 目前,有许多JS混淆压缩工具可供使用。一些流行的工具包括:UglifyJS、Terser、JSNice等。这些工具具有各自的特点和功能,可以根据具体需求选择合适的工具使用。 总之,JS混淆压缩工具对于提高代码安全性、可读性和可维护性具有重要作用。通过使用这些工具,开发人员可以更方便地理解、调试和修改代码,从而提高开发效率和代码质量。 ### 回答3: JS混淆和反压缩是用于还原经过混淆压缩的Javascript代码的工具。混淆压缩是为了减小代码体积和加强代码防护而进行的操作,但也给代码的阅读和理解带来了困难。 JS混淆工具主要通过对混淆后的变量、函数名、属性名进行逆向推算,还原出其原有的可读性较高的标识符。这种工具一般基于静态分析和语义分析的技术,通过模式匹配、代码流分析和控制流分析等方法,逆推原始代码的标识符,从而提高代码的可读性。 JS压缩工具主要是针对通过压缩工具对代码进行了无损压缩的情况,还原出原始的格式和布局。这种工具通过识别特定的压缩技术(如代码变量替换、代码优化、多行合并等),并对其进行反向操作,还原出原始的代码结构和格式。 总之,JS混淆和反压缩工具的目的是为了提高代码的可读性和可维护性,方便开发人员阅读和理解代码,同时也有助于代码审计和漏洞发现。但需要注意的是,使用这些工具应遵守相关法律法规,不用于非法用途,以保护代码的合法性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deng872347348

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值