Js逆向教程-13浏览器和JS的关系/伪造浏览器环境 )

最新推荐文章于 2024-08-26 09:16:20 发布
最新推荐文章于 2024-08-26 09:16:20 发布
阅读量3k 收藏 1
点赞数 3
分类专栏: js逆向 文章标签: javascript 前端 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/biggbang/article/details/128049871
版权

作者:虚坏叔叔
博客:https://xuhss.com

早餐店不会开到晚上,想吃的人早就来了!😄

Js逆向教程-13浏览器和JS的关系/伪造浏览器环境 )

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UmmTvPZM-1669433864422)(../../伪造浏览器环境 )].png)

一、浏览器必然包含几个部分:

  1. 显示区域、输入网址、刷新按钮
  2. DOM
  3. BOM
  4. 运行html+css+js代码
  5. 不同浏览器会实现自己相应的属性

二、DOM BOM和JS引擎的关系

DOM BOM都是js对象

2.1DOM(DOM基本操作思维导图)

在这里插入图片描述

2.2BOM(window对象思维导图)

在这里插入图片描述

location

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0CSGkmOU-1669433864423)(02 - 副本.assets/image-20221126094340465.png)]

navigator

包含浏览器的数据,包括ua,内部的名称,浏览器的版本号。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QgrBpNcc-1669433864424)(02 - 副本.assets/image-20221126094507787.png)]

这些都是浏览器实现的

还有openssl:btoa AES DES MD5

2.3Js引擎

js是一个解释型编程语言,官方并没有提供解释器,所以js引擎就是js的解释器。

市面上大部分用的都是谷歌的v8引擎。

还有微软的查克拉。

ffg实现的quickjs。

官方不提供解释器没有关系,但必须提供解释器的标准,所以这个标准叫做ECMAScript,ES6当前浏览器支持的最好。

https://www.w3cschool.cn/escript6/

有时候 本地运行js代码 对应的解释器版本 不同会有区别。

三、伪造基本功

3.1为什么要伪造

所有的js引擎都提供一个功能,这个功能是 可以给js添加任意对象,删除任意对象、关联本地代码

js引擎用c++写的 你在js里面执行btoa这个函数 这个函数是引擎执行的 但是js引擎没有这个函数怎么办? 它就执行浏览器自己写的方法。

引擎可以支持关联浏览器自己的代码 到引擎中,所以v8引擎有这个功能

浏览器实现的对象会添加特性:只读。所以,你不能在浏览器去定义DOM对象 因为它是只读的。

但对于我们来讲,我们用本地v8引擎注册DOM对象是完全可行的,因为我们没有DOM环境,所以在本地用代码是可以自己定义的。

所以在浏览器中,我们可以自定义dom对象,也可以用浏览器本身的dom对象,通过查看它的原型 可以伪造这个原型。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TiUKCGVG-1669433864424)(02 - 副本.assets/image-20221126110336499.png)]

因为我们的本地运行的js中没有dom对象,所以我们就需要伪造这个dom对象。

如果不伪造的话,会报错,因为v8引擎没有dom对象。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3VPROSNB-1669433864425)(02 - 副本.assets/image-20221126110705250.png)]

3.2js伪造思路

一般对js代码处理的思路有2种,

  • 扣取js:删除环境
  • 伪造环境:伪造环境代码

为什么么我们要伪造Document对象,是因为我们不想去改变它的代码,

简单的网站扣取js代码就可以,复杂的网站就需要伪造环境。

伪造环境最终的目标就是让自己变成浏览器。

四、伪造浏览器

4.1要伪造什么

1.全部伪造(python jsdom库:伪造完整的dom环境)(nodejs 伪造完整的Bom dom环境):

费时费力 一劳永逸 容易被检测

2.给指定的网站伪造:

如何知道网站检测了哪些内容?

  1. 通过调试
  2. 全局异常捕获
  3. 本地环境运行

4.2如何伪造

伪造navigator

var navigator = {
    userAgent:"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36"
}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tnsazFOc-1669433864426)(02 - 副本.assets/image-20221126112822098.png)]

也就是说 有了自己伪造的环境后 就可以运行网站上的代码了。

总结

最后的最后
由本人水平所限,难免有错误以及不足之处, 屏幕前的靓仔靓女们 如有发现,恳请指出!

最后,谢谢你看到这里,谢谢你认真对待我的努力,希望这篇博客对你有所帮助!

你轻轻地点了个赞,那将在我的心里世界增添一颗明亮而耀眼的星!

💬 往期优质文章分享

🚀 优质教程分享 🚀

  • 🎄如果感觉文章看完了不过瘾,可以来我的其他 专栏 看一下哦~
  • 🎄比如以下几个专栏:Python实战微信订餐小程序、Python量化交易实战、C++ QT实战类项目 和 算法学习专栏
  • 🎄可以学习更多的关于C++/Python的相关内容哦!直接点击下面颜色字体就可以跳转啦!
学习路线指引(点击解锁)知识定位人群定位
🧡 Python实战微信订餐小程序 🧡进阶级本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。
💛Python量化交易实战 💛入门级手把手带你打造一个易扩展、更安全、效率更高的量化交易系统
❤️ C++ QT结合FFmpeg实战开发视频播放器❤️难度偏高分享学习QT成品的视频播放器源码,需要有扎实的C++知识!
💚 游戏爱好者九万人社区💚互助/吹水九万人游戏爱好者社区,聊天互助,白嫖奖品
💙 Python零基础到入门 💙Python初学者针对没有经过系统学习的小伙伴,核心目的就是让我们能够快速学习Python的知识以达到入门

🚀 资料白嫖,温馨提示 🚀

关注下面卡片即刻获取更多编程知识,包括各种语言学习资料,上千套PPT模板和各种游戏源码素材等等资料。更多内容可自行查看哦!

请添加图片描述

虚坏叔叔
关注
专栏目录
JS逆向 | 骚操作教你如何伪造浏览器环境
丁仔.的博客
04-21 7641
写在前面  由于最近好多小伙伴问我怎么伪造canvas等浏览器环境,故写了这篇文章供参考。  说到浏览器环境与本地环境,不得不先解释下全局对象。在浏览器环境,全局对象即为 window 对象,而在本地node环境,全局对象为 global 。两者有一定差别,简单点说,window对象下有的方法或属性,global对象不一定有。反之,global对象下有的,window对象基本都有。  我们定义的全...
browser-env:使用jsdom模拟全局浏览器环境
02-06
浏览器环境 使用模拟全局浏览器环境。 这使您可以轻松或不费劲地在Node.js 6或更高版本中运行浏览器模块。 也可以用于通过任何Node.js测试框架测试浏览器模块。 请注意,只有DOM是模拟的,如果您要运行需要更多高级浏览器功能的模块(例如localStorage ),则需要分别进行polyfill。 使用browser-env@2支持较旧的Node.js版本。 :exclamation_mark: 重要的提示 此模块将属性从jsdom窗口命名空间添加到Node.js全局命名空间。 jsdom明确jsdom 。 在某些情况下,这可能适合您的用例,但请仔细阅读链接的Wiki页面,并确保您了解警告。 如果您不需要全局启
浏览器伪造大师:BrowserForge 智能浏览器头及指纹生成指南
最新发布
gitblog_01149的博客
08-26 304
浏览器伪造大师:BrowserForge 智能浏览器头及指纹生成指南 browserforge???? Intelligent browser header & fingerprint generator项目地址:https://gitcode.com/gh_mirrors/br/browserforge 项目介绍 BrowserForge 是一个强大的工具,旨在模拟野生环境中不同浏览器、操作系统和设...
js浏览器
二流码农的博客
01-07 361
浏览器的特点 1.shell(用户可见,可修改) 2.内核(浏览器如何执行) 渲染引擎(语法规则和渲染) 负债html和css 浏览器如何绘制页面 js引擎(针对js代码) 2001年ie6首次实现对js引擎的优化和分离 2008年chrome浏览器v8引擎把js代码直接转化为机械码,速度快 后来Firefox也推出强大功能的js引擎 其他模块 j
JavaScript浏览器
MoeCodeFree的博客
10-21 871
JavaScript浏览器 浏览器的内核 五大主流浏览器 内核 IE trident Chrome webkit blink Safari webkit FireFox gecko Opera presto PS: Chrome和Safari合作开发了webkit,后来谷歌单干用webkit的内核开发了blink,两者可以说是一个东西。 浏览器的历史和JS诞生 1990年12月25日,万维网的发明者蒂姆·伯纳斯·李(Tim Berners-Lee)和罗伯特·卡里奥
4. [使用 Puppeteer 在 Node.js 中模拟浏览器环境
初学者的专栏
05-27 1593
在这个示例中,我们首先导入 Puppeteer 模块,然后使用 `puppeteer.launch()` 方法创建一个浏览器实例。接着,我们使用 `browser.newPage()` 方法创建一个新的页面实例,并使用 `page.goto()` 方法加载 Google 的网页。最后,我们使用 `page.content()` 方法获取页面的 HTML 内容,并将其打印到控制台中。这只是 Puppeteer 的一个简单示例,它可以执行更复杂的任务,例如模拟用户交互、填写表单、截取屏幕截图等。
js浏览器环境
weixin_45823991的博客
07-27 444
1.BOM(Browser Object Model,即浏览器对象模型)。 2.DOM(Document Object Model,即文档对象模型)。 3.浏览器事件。 4.XMLHttpRequest 对象。 在 HTML 页面中引入 JavaScript 代码,我们需要用到< script >标签 浏览器会在页面中按顺序执行所有的 JavaScript 代码,且所有标签中的代码都共享同一个名字空间(namespace),所以变量可以在不同代码块通用。 DOM 是一个标准,由世界万维网联合协会
鬼鬼js调试工具 js逆向必备
06-18
9. **插件与扩展**:除了基础的JS逆向,**鬼鬼JS调试工具**可能还支持对浏览器插件或扩展的调试,帮助用户更全面地了解整个网页环境。 10. **安全分析**:在逆向恶意代码时,需要了解常见的安全漏洞,如XSS(跨站...
js逆向解密之网络爬虫
10-16
5. 解决“window”未定义的异常,可以通过伪造window对象、使用PhantomJS这样的无头浏览器替代node.js环境、或者手动调整js代码来规避window的使用。 方案一中通过更换执行环境至PhantomJS成功绕过了未定义window...
如何用js修改浏览器指纹(拉力猫)
m0_66315674的博客
01-21 1505
(function() { 'use strict'; function fakeActiveVRDisplays() { return "Not Spoofed"; } function fakeAppCodeName() { return "Mozilla"; } function fakeAppName() { return "Netscape"; } function fakeAppVersion() { .
pwnjs一个用于浏览器开发的Javascript
08-09
描述"pwn.js 一个用于浏览器开发的Javascript库"进一步确认了这个库的名字是pwn.js,并且它是为浏览器环境优化的。这暗示了pwn.js可能专注于浏览器安全、漏洞利用、或者与Web安全相关的编程任务。 **标签解析** ...
js逆向之猿人学-反混淆刷题平台第十题
博客
03-26 2033
猿人学-反混淆刷题平台第十题 前言 这题应该是刷题平台中js逆向部分最难的一道题目了,而且它跟著名的某数有关系,做完这题后,你也可以说算是与某数有过接触了,本题需要破解的参数其实就是某数当中的MmEwMD,这里先说一下, 本题不会手把手每一步都讲的那么仔细,但是会带大家走一遍抠码的环节,有坑的地方呢就提及一下,至于有些地方为什么这样,又如何解决还是需要各位自己思考的,毕竟做题本身就是为了提高自己,如果什么都说了,都做了,那就失去了做题的意义了,好了话不多说,下面直接开始分析。 (提示:这题打开开发者工具后会
JS的客户端浏览器模拟
专注-享学课堂
02-24 1491
PlatformJS JS
nodejs jsdom 模拟浏览器,执行DOM环境 js 文件
Rao的博客
06-09 1592
JsDOM 爬虫破解 js 代码
JavaScript浏览器环境概述(BOM)
LiLi的博客
01-11 620
浏览器环境概述(BOM) JavaScript浏览器的内置脚本语言,一旦网页内嵌了JavaScript脚本,浏览器加载网页,就会去执行脚本,从而达到操作浏览器的目的,实现网页的各种动态效果 代码嵌入网页的方法 <script> 元素直接嵌入代码。 <script> var x = 1 + 5; console.log(x); </script> <script> 标签加载外部脚本 <script src="https://www.examp
某瓣读书 window.__DATA__ js逆向
活捉一只小菜鸟的博客
05-20 719
某瓣读书 window.__DATA__ js 逆向 不涉及补环境js逆向
JavaScript 进阶教程】案例一:使用面向对象模拟浏览器顶部切换栏
weixin_52212950的博客
06-20 3511
我们已经学会了很多 Tab 栏的写法,原生 JS 的写法,jQuery 的写法等等,学了面向对象后,我们就要学会用面向对象来实现我们 ES6 的第一个小案例------面向对象 Tab 切换栏,其中和以往不同的是,增加了添加 tab 栏,双击修改 Tab 栏等功能,其实它更像我们浏览器网页的顶部选项卡。...............
js如何判断打印操作_JS逆向 | 骚操作教你如何伪造浏览器环境
weixin_39933414的博客
11-28 568
所有文章首发在我的微信公众号“逆向新手”,更多逆向系列请关注公众号,谢谢!写在前面 由于最近好多小伙伴问我怎么伪造canvas等浏览器环境,故写了这篇文章供参考。 说到浏览器环境与本地环境,不得不先解释下全局对象。在浏览器环境,全局对象即为 window 对象,而在本地node环境,全局对象为 global 。两者有一定差别,简单点说,window对象下有的方法或属性,global对象不一定有...
JS逆向系列之猿人学爬虫第16题-window蜜罐
自成背后的博客
06-27 1376
JS逆向系列之猿人学爬虫第16题题解
pythonjs逆向 jsdom
10-26
PythonJS是一个将Python代码转换为JavaScript代码的工具,它可以帮助开发人员在Python环境中编写代码,并将其转换为JavaScript以在Web浏览器中运行。而jsdom是一个基于Node.js的库,它允许开发人员在Node.js环境中模拟浏览器DOM环境。 如果你想逆向jsdom,你需要了解jsdom的API和内部实现。jsdom提供了一些API来模拟浏览器DOM环境,例如document对象、window对象、Element对象等。你可以通过这些API来操作DOM元素、处理事件等。 如果你想逆向PythonJS,你需要了解PythonJS的转换规则和内部实现。PythonJS将Python代码转换为JavaScript代码的过程中,会根据一定的规则进行转换。例如,Python中的列表可以转换为JavaScript中的数组,Python中的字典可以转换为JavaScript中的对象等。 总之,逆向jsdom和PythonJS都需要对它们的内部实现有一定的了解,才能更好地进行逆向工作。如果你想深入了解这些工具,建议先阅读它们的文档和源代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚坏叔叔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值