js逆向技巧(持续更新)

已于 2024-05-30 11:16:21 修改
阅读量539 收藏 1
点赞数
分类专栏: 渗透测试技巧 文章标签: javascript 前端 开发语言
于 2023-05-10 15:22:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32445755/article/details/130597906
版权

防止改包方式

主要是这么几个方面

1. 请求参数和路径的加密(靶场未实现)

  • 如果原始请求是GET请求,或防止访问者获取请求路径,通常会将用户实际的请求路径和GET请求参数封装都封装为POST请求的请求体,通过加解密网关再还原为原始GET请求传入后端分布式服务上。 在APP中比较常见。

    表现的形式通常为: 抓包后发现访问任何功能都是同一路径,并且请求全为密文

2. 请求体的加密
  • 这类在纯web中最常见, 通常仅仅加密接口请求的请求体内容,但有以下几类加密问题。
    • 使用固定密钥 --- 顾名思义, 这种情况一般JS中会存储密钥, 属于最简单的一种
    • 使用动态密钥 --- JS中不存储,一般用户第一次请求后将密钥加密写入COOKIE或本地存储中, 这类加密追踪难度较大。
    • 对称加密 --- 加解密数据包内容同一套密钥
    • 非对称加密 --- 加密一套解密一套
    • 算法 --- 算法就不是特别固定了, 常见的诸如AES RSA等, 也遇到过使用国密算法或一些冷门算法。
3. 签名
  • 签名的应用也十分广泛,app,小程序和现在许多web中均存在,签名的构成主要是以下几点
    • RequestId --- 为了防止重放攻击, 客户端生成随机RequestId 服务端接收后保存至Redis中, 如果再次接收到此RequestID, 则视为非法请求
    • 时间戳 --- 添加时间戳的超时时间, 一旦超时, 原始数据包失效
    • 签名本身 --- 通过 requestId + 原始请求体或请求参数 + 时间戳 + 盐值合并生成哈希值 从而保证以上参数的有效性和唯一性
了解本专栏 订阅专栏 解锁全文 超级会员免费看
qq_1136014935
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、函数调用转换等手段,使得代码难以直观理解,增加了阅读和分析的难度。 在进行JavaScript逆向学习时,首先需要通过反混淆技术将混淆...
javascript逆向 js混淆 乱码增强 js逆向学习
03-08
学习 JavaScript 逆向工程和混淆技术旨在加强对代码安全性的认识和保护。了解如何混淆 JavaScript 代码、增强其安全性,以及防止逆向工程是开发人员重要的技能之一。通过学习逆向工程,可以更好地理解代码运行原理,...
文心一言与JS加密解密
mxd01848的博客
03-27 209
JS加密解密 在前端开发中,经常需要对敏感数据进行加密,以保护用户隐私和数据安全。在文心一言应用中,用户可以将自己的心情、感悟等文字内容加密后保存,以保护个人隐私。下面我们使用JavaScript编写一个简单的加密解密函数,来实现文心一言中所使用的加密算法。以上代码中,我们使用了异或运算符(^)对字符进行加密解密,同时使用了循环来处理多余的字符。加密解密函数只需要传入待加密/解密的字符串和密钥即可返回加密/解密后的结果。运行代码后,可以在控制台中看到加密后的字符串和解密后的字符串。
关于js逆向你必须知道的20个知识点
weixin_47964305的博客
05-19 6840
可以检查字符串操作函数如replace、split、slice等,分析字符串加密方式,如字符替换、base64、AES等。可以在Sources面板中设置断点,然后刷新网页或交互执行代码,程序会在断点处暂停,可以查看变量值、调用栈等。可以分析变量的前缀、类型等命名规律,寻找与业务功能相关的变量,如uid、name、password等。可以通过查看函数名称、变量、事件等分析交互逻辑和程序流程,理解其主要业务功能。可以查看对象的属性和方法,判断是否存储了与业务逻辑相关的信息,如用户数据等。
JavaScript逆向技术
最新发布
前端御书房
05-07 990
JavaScript逆向的目的,就是通过对这些经过处理的代码进行反混淆、解密或解压缩,还原出原始的代码逻辑,从而理解其工作原理或寻找潜在的安全漏洞。然而,JavaScript逆向技术仍在不断发展和完善中,未来的研究方向包括更高效的反混淆和解密算法、更精确的动态执行和调试技术等。同时,我们也应该意识到,JavaScript逆向并非万能的。此时,我们需要借助内存分析工具(如浏览器的Memory tab),对JavaScript对象的内存占用、引用关系等进行深入分析,以提取出隐藏在内存中的关键数据。
逆向基础】JS逆向入门:小白也可以看懂
liaozp88的博客
06-04 7575
出于对数据安全的考虑,现代化的网站/APP通常会对数据接口做加密处理。而分析这些接口的加密算法并实现模拟调用的过程就叫做「逆向」。逆向对于爬虫工程师来说是一个永远绕不开的话题,也逐渐成为各企业招聘时,JD 中的一个必备技能要求。本文就以某在线翻译网站接口加密参数分析为案例,分享一下网页爬虫的逆向原理、分析思路和分析过程。本文通过一个案例分享了爬虫逆向的原理和思路,由于案例比较简单,仅通过在网页 JS 资源文件里直接搜索关键词就能找到对应的加密算法。
js逆向
weixin_42584586的博客
12-30 3071
JavaScript 逆向是指对 JavaScript 程序进行反汇编或反编译的过程。它可以帮助你了解 JavaScript 程序的工作原理,并且可以用来修改或扩展程序的功能。 逆向 JavaScript 程序的一种常见方法是使用反汇编工具,这些工具可以将 JavaScript 代码转换成可读的形式,方便人类理解。另一种常见方法是使用反编译工具,这些工具可以将 JavaScript 代码转换成类似...
21.网络爬虫—js逆向详讲与实战
weixin_50804299的博客
05-05 1万+
📑 📑在这个大数据时代,我们眼睛所看到的百分之九十的数据都是通过页面呈现出现的,不论是PC端、网页端还是移动端,数据渲染还是基于html/h5+javascript进行的,而大多数的数据都是通过请求后台接口动态渲染的。而想成功的请求成功互联网上的开放/公开接口,必须知道它的URL、Headers、Params、Body等数据是如何生成的。📑 📑JavaScript逆向工程是指通过分析JavaScript代码和运行行为来理解程序的内部机制。这种技术可以用于破解JavaScript程序的加密和混淆,以及
JS逆向技巧汇总---给普通爬虫学习者的吐血建议
weixin_45387160的博客
02-01 2597
JS逆向技巧汇总
鬼鬼js调试工具 js逆向必备
06-18
鬼鬼js调试工具7.5,js逆向必备工具。本工具中包含dll文件和ec文件,解压即可直接运行。是一款不可多得的好东西。
JS逆向练习题100题
10-25
练完这100题,随便找个月入1W工作不闹着玩?
关于爬虫如何做js逆向的思路
04-26
阿里云资料ppt讲解介绍 来越的的公司注重数据,如何断绝他人独立网站数据是如今互联网公司的一个主题。js加密作为爬虫一个绕不过的关卡,如何更加有效率的破解加密参数,相信这节课会给你一个大概的思路。
发条JS调试工具,JS逆向神器
08-30
这个调试器的好处是,可以很方便格式化JS代码,然后输入你要调试的字符,然后点击运行,可以当场拿到结果,等到结果ok了的话,就可以用python 的pyexecjs执行。实用性比较强,如果安装的时候碰到系统提示非法性,...
JS逆向、破解、反混淆、反浏览器指纹——JS补环境框架
YeJinYang的博客
05-23 1万+
JS补环境框架,过浏览器指纹,重写webrtc
简单的js逆向教程
学习python
02-26 1万+
其实做web端的爬虫,最常见到的就是js逆向方面的问题,既是重点也是难点,所以加强这方面的学习才是提升我们业务技能的重要突破点。接下来讲一下两个小实例,看一下基础的js逆向的破解(浅层篇)。 第一种加密情况: ①分析请求: 先打开目标网站---》打开控制台---》切换至XHR 然后刷新一下就会看到下面的情况 这里要解决的有两个: 返回的密文 请求中的token 接下来定位加密位...
js逆向基础必备知识一
m0_57265868的博客
02-23 862
v1 = 11 ===(n=123) 先把123赋值给n,再判断l1与n是否相等,最后把false赋值给v1。三个等于号表示是否完全相等,==则不然,若1=="1"会报正确。v4 = 0||15||"杨鑫" 0||15先弄,整体取决于15,相当于15||"杨鑫",v4结果为15。let str = Buffer.from("密文","base64").toString();sign.call(123,456,888)执行结果为456,888,函数内部this=123。
JavaScript 逆向调试常用技巧
weixin_43102784的博客
09-21 3549
接下来介绍一个非常重要的功能 —— 断点调试。在调试代码的时候,我们可以在需要的位置上打断点,当对应事件触发时,浏览器就会自动停在断点的位置等待调试,此时我们可以选择单步调试,在面板中观察调用栈、变量值,以更好地追踪对应位置的执行逻辑。那么断点怎么打呢?我们接着以上面的例子来说。首先单击如图所示的代码行号。这时候行号处就出现了一个蓝色的箭头,这就证明断点已经添加好了,同时在右侧的 Breakpoints 选项卡下会出现我们添加的断点的列表。
个人总结 - JS逆向解析
热门推荐
老鹰的博客
08-13 2万+
目前加密的方式总结有下面几点: 对称加密(加密解密密钥相同):DES、DES3、AES 非对称加密(分公钥私钥):RSA 信息摘要算法/签名算法:MD5、HMAC、SHA 前端实际使用中MD5、AES、RSA,自定义加密函数使用频率是最高的 几种加密方式配合次序:采用非对称加密算法管理对称算法的密钥,然后用对称加密算法加密数据,用签名算法生成非对称加密...
反爬虫的四种常见方式-JS逆向方法论
westlife73的博客
03-10 1924
因为我们已经在陷阱里面了,所以要刷新页面,JS的运行应该停止在设置的断点处,此时该函数尚未运行,我们在Console里面重新定义它,继续运行就可以跳过该陷阱。首先把Chrome浏览器保存的该网站的cookie删除,按F12到Network窗口,把“preserve log”选中(Firefox是“Persist logs”),刷新网页,这样我们就可以看到历史的Network请求记录。JS会响应链接被点击的事件,在打开链接前,先访问cl.gif,把当前的信息发送给服务器,然后再打开被点击的链接。
python js 逆向教程
09-26
### 回答1: 我没有具体的指导,但是可以给你一些建议:首先,可以研究一些已经实现的逆向JS的解决方案,然后根据你的需求来实现你所需要的功能;其次,可以在网上搜索一些关于Python和JS逆向的教程,并且结合实践来掌握这些技术;最后,可以在社区中寻求帮助,可以得到其他更有经验的人的建议。 ### 回答2: Python和JavaScript是两种常见的编程语言逆向工程指的是通过分析和理解已编译的代码来了解其内部机制和工作原理。下面将简要介绍关于Python和JavaScript逆向教程。 对于Python逆向来说,首先需要了解Python的字节码和内部数据结构。可以通过使用dis库来反编译Python代码并查看生成的字节码指令,进而分析其执行过程。另外,还可以使用反汇编工具来反编译Python的.pyc文件,以便更深入地研究其运行机制。 在JavaScript逆向教程中,首先需要学习JavaScript的语法和基本概念。然后,可以使用开发者工具来查看JavaScript代码的执行过程和调试信息。此外,还可以使用JavaScript反编译工具来将经过压缩或混淆的JavaScript代码还原为可读性较高的形式,以方便分析和理解。 不管是Python还是JavaScript逆向,重要的是要有良好的编程基础和对底层机制的理解。通过阅读相关文档、学习逆向工程技巧,并进行实践和实际项目中的应用,可以逐渐掌握逆向工程的技能。 总结起来,Python和JavaScript逆向教程涉及到反编译字节码、反汇编.pyc文件、使用开发者工具和反编译工具等技术。通过学习相关知识、实践和实际项目应用,可以逐步掌握逆向工程的技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_1136014935

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值