【绕过无限Debugger】

于 2024-06-25 18:15:17 发布
阅读量953 收藏 12
点赞数 17
分类专栏: 前后端 文章标签: java 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66726657/article/details/139965940
版权

文章目录

引言

在Web开发中,debugger语句是一种强大的JavaScript功能,允许开发者在代码中设置断点,便于调试和理解代码执行流程。然而,这一功能有时会被滥用,形成所谓的“无限debugger”,这是一种防止开发者或爬虫正常访问或调试网站的技术。

常见场景:无限debugger通常出现在通过客户端JavaScript进行大量处理的网站上。开发者可能会在循环中插入debugger语句,或在关键功能执行前设置断点。这种做法的目的是通过创建一个无法逃脱的调试循环,来阻挡未经授权的调试尝试,如自动化脚本或爬虫的介入。

对网站安全性的影响:从安全角度看,无限debugger可以作为一种防护措施,保护网站内容不被轻易抓取或篡改。它能够增加对手动或自动化攻击的抵抗力,尤其是在面对数据采集或其他形式的网络攻击时。

对开发的影响:虽然无限debugger对于安全防护有一定的效益,但它也极大地影响了合法开发者的工作效率。开发者可能需要花费额外的时间和资源来识别和绕过这些调试器命令,这不仅延长了开发周期,也可能引入新的错误。

无限Debugger的工作原理

无限debugger是一种在Web开发中使用JavaScript实现的调试阻断技术,主要用于阻止开发者通过浏览器的开发工具进行代码调试。这种技术通过循环调用debugger语句,形成一个调试的死循环,使得每次尝试继续执行代码时,调试器都会被再次激活。

如何植入代码中:无限debugger通常被嵌入在JavaScript代码的关键部分,例如在一个执行频繁的循环中或在某个重要函数的开始处。开发者可以通过简单的循环结构实现这一点,例如:

while (true) {
    debugger;
}

while循环创建了一个无限循环,debugger语句则确保在每次循环迭代时都触发浏览器的调试功能。这样做的效果是,一旦调试工具被激活(如开发者打开了浏览器的开发者工具),代码就会被无限地中断在这里,除非有外部介入来停止这个循环。

运行机制示例:考虑以下更复杂的场景,其中无限debugger被用作反爬虫策略:

function checkDebugger() {
    if (functionToDetectDebugger()) {
        while (true) {
            debugger;
        }
    }
}

function functionToDetectDebugger() {
    const startTime = performance.now();
    debugger;
    const endTime = performance.now();
    return (endTime - startTime) > 100;
}

setInterval(checkDebugger, 1000);

functionToDetectDebugger函数试图通过计算debugger语句前后的时间差来判断是否存在调试环境。如果检测到调试环境,checkDebugger函数将触发一个无限循环,其中包含debugger语句。通过setInterval,这个检查每秒进行一次,以确保即使用户在运行过程中打开了开发者工具,也能立即触发无限debugger。

无限debugger为网站提供了一种防护机制,使得非授权用户更难分析和篡改客户端代码。

绕过无限Debugger的常用技巧

条件断点法

条件断点是调试工具中的一种功能,允许开发者在满足特定条件时才触发断点:

  1. 在浏览器的开发者工具中,找到包含debugger语句的代码行。
  2. 右键点击行号旁边的空白区域,选择“Add conditional breakpoint”(添加条件断点)。
  3. 在条件输入框中输入一个总是为false的条件。例如,false0 === 1
  4. 保存断点。现在,当代码执行到这一行时,由于条件不满足,debugger语句将被跳过。

使用条件断点法,开发者可以控制debugger的激活,避免无限循环的干扰,同时继续利用调试工具分析其他部分的代码。

置空法

置空法直接修改包含debugger的代码,以防止其执行:

  1. 定位到循环中或频繁执行的debugger语句。
  2. debugger语句替换为无害的代码,或完全删除。例如,将debugger;替换为console.log('Debugging bypassed');
  3. 重新加载页面以确认修改后的代码是否有效。

这种方法的效果依赖于开发者能够访问并修改运行中的JavaScript代码,通常适用于开发阶段或在控制台中临时修改测试。

代码修改与加密

在一些高级的情况下,可以通过重写或加密关键代码段来绕过无限debugger。例如,使用MD5加密可以隐藏某些操作:

  1. 选取需要保护的代码段,特别是那些可能包含敏感逻辑或数据操作的部分。
  2. 将这些代码段进行加密,转换成服务器可以解释执行但难以直接在客户端分析的形式。
  3. 在客户端执行时,通过特定的解密函数恢复原始逻辑。

这种方法不仅可以防止无限debugger对调试工作的干扰,还能提高代码的安全性,防止恶意用户直接阅读或修改。

武帝为此
关注
  • 17
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ImmunityDebugger
05-23
**Immunity Debugger** 是一款强大的动态程序分析工具,主要用于软件调试和逆向工程。它在IT行业中,尤其是在软件开发、安全研究和恶意软件分析等领域,扮演着重要角色。这款工具以其用户友好的界面和丰富的功能集而...
DEP绕过1
08-08
DEP绕过1 DEP(Data Execution Prevention,数据执行防护)是一种Windows操作系统中的安全机制,旨在防止恶意代码在...我们可以使用 Immunity Debugger 和 Mona.py 等工具来自动构造ROP链,并使用ROP链来绕过DEP机制。
JS调试干扰 - 无限debugger 绕过
zzzzls 的博客
03-04 2318
**无限 debugger**,非常烦人的一种 JS 反调试手段,但是这么叫并不是很准确,因为它并非是无限的,也不会写在 `while (true)` 中,否则还没等我们调试,浏览器就先卡死了。因此,它还有一个靓丽的名字:debugger 地狱!
前端绕过无限Debug
qq_40495860的博客
01-11 695
前端绕过无限debug
2024最新版JavaScript逆向爬虫教程-------基础篇之无限debugger的原理与绕过
最新发布
Amo Xiang的博客
05-08 2298
本文讲解了无限 Debugger绕过方案,包括禁用全局断点、条件断点、替换原始文件等,从这些操作中我们也可以学习到一些 JavaScript 逆向的基本思路,建议好好掌握本文内容。
无限debugger绕过,某意见反馈网站逆向分析
03-11 771
点击下一页,即可抓包查看接口,但是一打开调试工具,马上开始debugger,点击下一步,又会被断到另一个 debugger 的位置,这种情况就是无限 debugger无限 debugger 存在的意义就是防止一部分人进行调试,但事实上绕过无限 debugger 的方法非常简单,方法也非常多,以下介绍常用的几种绕过方法。json数据可以看到很简单,就是分页用的,url参数有几个像是加密的,直接全局搜索OPEN@,只有一处结果,下断,只需跟进execute函数,可以找到加密位置。
JS逆向:常见无限Debugger以及绕过方法
wtchhb的博客
03-20 6671
Js逆向、爬虫技术、浏览器调试技术、JavaScript、Hook技术
JS 跳过 debugger 的几种方法
爬楼梯的巨人的博客
02-21 2535
JavaScript无限debugger原理与绕过方法
绕过JavaScript debugger三种解决方法
wh445306
12-21 9952
最近网上挺火的一段加密混淆JS,格式化展开后有300多行,目的是解析生成一个cookie,不携带cookie,就不能加载网页源码,典型的反爬虫操作。 看后觉得好使的请记得点赞哦!烧鸡么么哒!谢谢:) JS会自动监视是否打开了调试器,如果打开了,就会调用下面这个很恶劣的递归死循环函数,从0开始累加调用,不断弹出debugger窗口,直到你电脑卡死,浏览器崩溃 第一种反调试解决方法: ...
【JS 逆向百例】无限debugger绕过,某政民互动数据逆向.doc
10-22
JS 逆向百例 - 无限 debugger 绕过、政民互动数据逆向 在本文中,我们将探讨 JS 逆向百例中的无限 debugger 绕过和政民互动数据逆向。逆向目标是某政务服务网的政民互动模块,我们将展示如何绕过无限 debugger 和...
edb-debugger-master_debugger_
09-29
EDB Debugger是一款强大的开源调试器,专为Linux操作系统设计,支持32位和64位架构。这款工具在软件开发、故障排查和逆向工程领域中广泛应用,因其易用性和功能强大而备受赞誉。 首先,让我们深入了解调试器的基本...
Boot_debugger_
09-29
"Boot_debugger_"这个标题暗示我们将探讨如何使用调试器来处理系统启动相关的故障。本文将深入讲解Windows平台上的调试技术,特别是针对启动过程的调试。 一、Windows调试器的基础知识 1. Windbg:Windows调试器的...
JavaScript逆向爬虫——无限debugger的原理与绕过
Liu_Bruce的博客
04-07 1316
debuggerJavaScript 中定义的一个专门用于断点调试的关键字,只要遇到它,JavaScript 的执行便会在此处中断,进入调试模式。但有时候,debugger 会被网站开发者利用,使其成为阻挠我们正常调试的拦路虎——无限 debugger
无限debugger的原理与绕过
空城的博客
09-13 3612
无限debugger的原理
js逆向-无限debugger的原理及绕过
逆向新手的博客
05-07 4747
转载自: 爬虫从入门到精通(12) | js调试中的一些问题(无限debugger,调试干扰,内存爆破) 转载自: js 无限debugger 的原理,以及解决办法解决方案:解决方案:打script断点找到检测点,重写该方法 解决是否判断js格式化的内存爆破如果是使用正则或者toString的方式检测代码格式化,那么我们在本地运行的时候,搜索,把可以项删除或者取反即可 1.2.通过eval关键字创建debugger 此类为虚拟机中创建 此类为虚拟机中创建Function是创建匿名函数,然后去执行 大部分d
反调试-编译pass彻底解决调试web无限debugger问题
hehehero的博客
12-16 129
实际中的反调试语句会更加复杂和嵌套各种调试技巧,例如常见的无限debugger、配合settimeout延迟debugger、代码混淆+debugger等等.但对于Chrome浏览器内置v8就非常无敌超级麻烦要下载工具链,具体请参考网文 V8系统解读(一): V8 在 Chrome 中的位置&编译调试V8。任何代码都必须编译原理几步-词法语法中间代码机器码,js既然要编译,直接在编译时把关键词屏蔽掉/或生成空语句。只编译nodejs比较简单,make -j16 一把梭,使用修改后的node调试即可。
JS 跳过 debugger 的几种方法,都在这了
前端人的博客
05-23 4162
前端写自动脚本中最常见的就是 debugger 的干扰,debugger 仅在调试模式中起作用,需要手动点击才会继续向下执行,这样我们的自动脚本也就卡住无法向下执行,本篇文章介绍几种跳过 debugger 的方法。 方法1:禁用所有断点 禁用所有的断点,会包含自己的断点也会被禁用掉,暂停了调试。 方法2:添加到 Ignore List 中 把需要忽略掉的断点被包含的文件,添加到忽略列表中,此时一部分的断点就会被跳过,使用 f5 刷新也不会影响。 鼠标放到 debugger 处,点击右键
浏览器调试debugger
weixin_42551428的博客
10-22 386
文件保存到本地修改,修改范围主要是将debugger相关的代码删除或者改写,可以使用文件替换、抓包工具拦截方式。这个函数造成的,所以我们可以重写这个函数,使无限debugger失效.在控制台中输入。有些debugger前会有逻辑判断, 符合条件的时候才会去debugger,站点:https://bz.zzzmh.cn/index。断点设置在 条件判断这一行,可以用控制台的功能给他改成。无限debugger产生的原因是第七行代码。注:一定要在debugger进入之前。
hook过无限debugger
09-09
当我们遇到无限debugger的情况时,可以使用hook的方法来解决。Hook定时器是一种常见的方法,它通过修改定时器函数的执行属性,使其执行且不影响正常功能,同时可以绕过无限debugger的代码。 具体操作如下: 1. 定义一个变量来接收定时器函数:var _setInterval = setInterval 2. 修改定时器函数的执行属性:setInterval = function() {} 3. 这样就完成了hook,可以继续执行代码并绕过无限debugger的部分。 需要注意的是,在hook定时器时,断点的位置很重要。确保在函数还未执行之前下断点,这样在加载代码时就会断住。然后在控制台输出hook代码,并执行。最后点击跳到下一个断点,就可以成功地绕过无限debugger了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武帝为此

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值