JS调试检测 及 绕过方法

最新推荐文章于 2024-05-06 13:49:33 发布
最新推荐文章于 2024-05-06 13:49:33 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: JS逆向 文章标签: js javascript 调试 控制台 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36078992/article/details/114395924
版权

禁止打开控制台

较为简单的反调试手段,常见如下方案:

  • 禁用鼠标右键
  • 禁用 F12
  • 禁用 Ctrl+Shift+i

绕过方案也很简单,可采用如下方式:

  1. 提前打开控制台,随后访问网页
  2. 设置 --> 更多工具 --> 开发者选项

时间差异

这是一种从传统反逆向技术借鉴过来的反调试技巧。当脚本在 DevTools 等工具下执行时,运行速度会非常慢,所以我们可以根据运行时间判断脚本是否正在被调试。

演示代码如下:

setInterval(function () {
    start_time = new Date().getTime();
    debugger;
    stop_time = new Date().getTime();
    if (stop_time - start_time > 600) {
        alert('go out!')
    }
})

Object.defineProperty检测

利用了 div 元素的 id 属性,当打印 div 元素时,浏览器会自动尝试获取其元素id。如果代码在调用了 console.log 后又调用了 getter 方法,说明控制台当前正在运行。

演示代码如下:

let div = document.createElement('div');

function start_timer() {
    return setInterval(function () {
        console.log(div);
        console.clear()
    }, 500)
}

timer = start_timer();

Object.defineProperty(div, "id", {
    get: () => {
        clearInterval(timer);
        alert("go out!");
        timer = start_timer();
    }
});

检测窗口大小

检测窗口大小比较简单,首先需要明确两个概念,窗口的 outer大小 和 inner大小

  • window.innerWidth / window.innerHeight:可视区域的宽高,包含滚动条的宽度
  • window.outerWidth / window.outerHeight:会在 inner 的基础上加上工具条的宽度

具体实现代码可参考如下仓库:devtools-detect

缺点:

  1. 使用 window属性检查大小可能会有浏览器兼容的问题
  2. 此方案存在一个漏洞,例如在 Chrome中,若 开发者工具窗口设置为 单独窗口,则无法检测,可前往如下网站测试:https://sindresorhus.com/devtools-detect/
zzzzls~
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全B模块(笔记详解)- JavaScript安全绕过,2024年最新已获万赞
2301_76223624的博客
04-14 266
输入验证码发现flag3.使用渗透机场景windows7根据第二题的入口继续访问服务器本题场景,通过提示得到flag并提交;打开网页,发现要输入账号密检查网页源代码,发现用户密码输入账号密码发现flag4.使用渗透机场景windows7根据第三题入口继续访问服务器的本题场景,通过提示得到flag并提交;查看源代码,发现密码规律使用console来输出发现密码输入发现flag5.使用渗透机场景windows7根据第四题入口继续访问服务器的本题场景,通过提示得到flag并提交;
selenium去除左上角chrome控制且绕过一些JS的验证
A2739915338的博客
12-26 652
selenium绕过JS验证
JavaScript检测是否开启了控制台(F12调试工具)
01-22
js检测用户是否打开调试工具(chrome) (function(){ var re=/x/; var i=0; console.log(re); re.toString=function(){ window.close(); return '第'+(++i)+'次打开控制台'; } })(); JavaScript检测是否开启了控制台(调试工具) 测试后在chrome有效 不少人防止别人趴源码,一般采用检测按键F12之类的,但是这些基本没什么用 现在介绍一个方法,非常管用,可以检测到你是否开启了控制台程序,可以算是JavaScript的一些奇淫巧技 将这段代码加入你的网站即可,原理不明
浏览器控制台调试代码和JavaScript控制台方法介绍
cnds123的专栏
08-17 6109
浏览器控制台调试代码和JavaScript控制台方法介绍
JS 《》
热门推荐
qq_40055200的博客
11-11 2万+
CSDN 1.基本数据类型有哪几种?(高频) undefined,null,boolean,string,number,Symbol(es6) Symbol:定义对象的唯一标识(和id一样) let name = Symbol() console.log(typeof name) // Symbol 2.引用数据类型有哪些?(高频) Object,Array 内建对象:Object,String,Array 介绍js有哪些内置对象? Object是JavaScript..
2024年最新【安全策略】前端 JS 安全对抗&浏览器调试方法,2024年最新百度、阿里、滴滴、新浪的面试心经总结
最新发布
2401_84281655的博客
05-06 975
变量混淆、字符串混淆、属性加密、控制流平坦化、调试保护和多态变异是一种理想且实用的JavaScript保护方案,可以使代码变得难以阅读和分析,同时不影响代码的原有功能。🔒 变量混淆:将变量名、方法名、常量名随机变为无意义的乱码字符串,降低代码可读性。例如,将变量名转换为单个字符或十六进制字符串,使其更难被理解和解析。🔑 字符串混淆:将字符串集中放置,并进行MD5或Base64编码存储,使代码中不出现明文字符串。这样做可以避免使用全局搜索字符串的方式来定位到代码的入口点,增加代码的安全性。
【文件上传】前端JS验证的绕过与思考
redwand的博客
04-14 3145
文件上传中的前端JS验证,应该说是文件上传的验证里面最简单的、也是最容易绕过的验证,对于网络安全知识的积累,个人觉得最简单、基础的东西,往往要掌握的更加扎实,这样才能牢固的筑起万丈高楼,本文通过常规的集中绕过方式,对前端验证进行了一些总结和思考。
JS检测数据类型的四种方法
湿法止燃的博客
08-25 695
1,typeof 最常用的方法。用法:typeof(xxx) 缺点:数组,null检测结果不准确。数组的检测结果是"object",null的检测结果也是"object"(原因:null在底层编码时前几位数字时000与”object“的相同) 2,intanceof 用法:xx instanceof Array 检测从xx到基类原型这条原型链上是否存在Array的原型。返回结果是布尔型。 3,constructor 用法:if(xx.__proto__.constructor==Array)...
JS前端绕过
看着博客敲代码
06-26 2898
web应用对用户上传的文件进行了校验,该校验是通过前端JavaScript代码完成。恶意用户对前端JavaScript进行修改或通过抓包软件篡改上传文件的格式,就能绕过基于JS的前端校验。
记一次js加密绕过
m0_46317063的博客
02-22 228
一次简单的js加密绕过
JS沙箱绕过以及竞争条件型漏洞复现
求大佬师傅带
08-02 560
JS沙箱绕过以及竞争条件型漏洞复现
绕过webdriver检测js
01-16
用于绕过webdriver检测js,结合文章Selenium注入便能实现
Visual Studio中js调试方法图解
10-25
主要介绍了Visual Studio中JS调试方法,需要的朋友可以参考下
鬼鬼JS调试工具7.5
09-20
小提示:双击函数名,调用方法会写入调试框。 鬼鬼JS调试工具 7.5 新增jsfuck解密功能 7.5版本 1.新增 jsfuck 解密功能 。 2.修复V8执行时,返回长度超过1024的结果,V8会崩溃的BUG 默认1024长度,如果返回结果...
js调试系列 控制台命令行API使用方法
12-11
。 看到如下内容: 好了我们先清空内容,可以右击选 Clear console 菜单,或者输入 clear() 都行。 接着,我们输入 document.getElementById(‘kw1’); 然后回车,就可以看到 id 为 kw1 的元素信息了。...
浅析JavaScript 调试方法和技巧
10-23
本文给大家浅析javascript调试方法和技巧,涉及到javascript调试方法和技巧方面的知识,本文介绍的非常详细,非常具有参考借鉴介绍,感兴趣的朋友一起看看吧
Auto.js 注意事项
qq_42581482的博客
11-25 5775
Autojs注意点前言一、查找控件总结 前言 最近心血来潮想弄一个安卓脚本,搜索几番,发现了autojs,Android7.0以上大部分功能可以免root(只需要开始无障碍服务)实现。 在此,记录一些关键点。 一、查找控件 查找控件时 加上className("")筛选条件成功率更高 默认的find()查找范围 我目前还不清楚。在一个很长的滑动页面中,经常会找到当前页面没有的控件,但是却点击不了,所以可以通过UiSelector.bounds(left, top, right, buttom)
JS逆向学习】猿人学 第五题 js混淆 乱码
学海无涯
03-08 660
后面还有有一些函数和变量需要补,这里就不一一补了,全部补完整之后执行有结果了,但是和同样的时间戳参数和浏览器生成的结果不一致,我们只能继续分析扣下来的代码哪里和浏览器不一致,最有可能的就是刚才我们改写的那段有反调试的函数,我们继续分析那个函数的下半部分,发现有两个地方很有可能会有问题,浏览器调试后我们发现和本地走的分支不一致,可以判定代码是做了检测的,我们直接按照浏览器的代码逻辑来改写我们的本地逻辑。功底够硬,代码还原后就很好分析了,可惜我功力不够,只能跟栈分析喽,向上一层就看到了具体的加密逻辑了。
那些方法可以绕过服务器对文件内容的检测,文件上传漏洞
weixin_34739646的博客
08-13 2434
文件上传文件上传就是在一些web应用中允许用户上传图片,文本等相应文件到服务器指定的位置。而文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,之后通过url去访问以执行代码达到攻击的目的。可以成功攻击的条件1.存放上传文件的目录要有执行脚本的权限,也就是文件能够被解析执行。2.可以通过web访问这个文件。3.知道文件上传后的路径和文件名称,有的web应用会修改上传文件的文件名称。上传...
文件上传漏洞常见绕过方法
07-28
回答: 文件上传漏洞的常见绕过方法主要包括前端JS检测、构造特殊的、畸形的数据包以干扰WAF对数据包的检测、利用文件内容的免杀和超大文件等方式进行突破、针对文件名过滤的WAF绕过突破思路等。\[1\]\[2\]\[3\]其中,前端JS检测是一种常用的防御方式,通过在前端对上传文件进行检测,限制文件类型和文件后缀,以防止恶意文件的上传。然而,攻击者可以通过构造特殊的、畸形的数据包来绕过WAF的检测,干扰WAF对数据包的解析,使其无法提取文件名称或将其误认为非文件上传的数据包,从而绕过WAF的防御。此外,攻击者还可以利用免杀和超大文件等方式来绕过WAF对文件内容的检测。针对文件名过滤的WAF绕过突破思路主要包括获取HTTP Request数据包包头中的boundary值、解析数据包获取上传文件的文件名,然后根据文件名进行黑名单或白名单的匹配。综上所述,文件上传漏洞的绕过方法多种多样,需要综合使用多种防御措施来提高安全性。 #### 引用[.reference_title] - *1* [文件上传漏洞常用绕过方式](https://blog.csdn.net/qq_62078839/article/details/124026691)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [文件上传漏洞WAF绕过方法](https://blog.csdn.net/weixin_40228200/article/details/127200643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值