JavaScript-Obfuscator4.0.0字符串阵列化Bug及修复方法

最新推荐文章于 2024-02-24 09:32:06 发布
最新推荐文章于 2024-02-24 09:32:06 发布
阅读量301 收藏
点赞数
文章标签: javascript bug 前端 js混淆 js加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w2sft/article/details/125473014
版权

JavaScript-Obfuscator4.0.0字符串阵列化Bug及修复方法

Javascript-obfuscator是全球知名的开源JavaScript代码混淆加密工具,由俄罗斯程序员Timofey Kachalov开发维护。

在2022年2月15日发布的4.0.0版本中,其存在一个字符串阵列化Bug,某些情况下会导致混淆结果异常。本文对Bug情况进行说明并提供修复方法。

注:此bug由JShaman团队发现,并已提交作者修复。

JShaman是国内专业的javascript源代码安全研究组织,与Javascript-obfuscator保持着友好联络与技术交流。

Bug描述:


Javascript-obfuscator4.0.0,其字符串阵列功能,对async函数中的成员对象进行阵列化处理,会导致代码异常。

例如,一段NodeJS代码:

async function waitPage(page) {
    await page.evaluateHandle(function(){
        return window.renderdone;
    });
 }
 
 (async () => {
     const puppeteer = require('puppeteer');
     puppeteer.launch().then(
         async browser => {
             console.log('...');
             const [page] = await browser.pages();
             await page.goto('https://www.baidu.com');
             await waitPage(page);
         }
     )
 })();

使用Javascript-obfuscator进行混淆加密,保护选项只选择了字符串阵列化这一个功能:

混淆加密后的代码,运行时发生异常,提示有变量未定义:

注意图中命令行中所显示,第一次执行是在未加密前,可正常使用。第二次是执行加密后的代码,出现错误。

Bug原因:

上述JS代码混淆加密后出现错误的原因,是由于进行字符串的阵列化处理时,未考虑是否处于async函数中。导致阵列化时MemberExpression字面量放置到了函数不可访问的外部区域中。如下图所示:

注:绿线上方是原始代码,做对比用。参考上面图中的错误提示变量,可以看出错误原因。

Bug修复方案:

阵列化功能,在JavaScript-Obfuscator目录下的StringArrayTransformer.ts文件中。

以下为临时修复代码:

//原始: return this.transformNode(node, parentNode);

//修复bug后的代码:

//是否是异步函数的标识
var in_async_function = false;
//递归函数,检测节点所有上级节点,判断是否处于异步函数中
var point = "-";
function detect_async_function(node:ESTree.Node){
    console.log(point, node.type);
    if(node.type == "FunctionDeclaration"){
        console.log(point, node.id?.name);
    }

    //是函数定义,并且是异步函数
    if((node.type == "ArrowFunctionExpression" || node.type == "FunctionDeclaration" || node.type == "FunctionExpression") && node.async == true){
        in_async_function = true;
        return;
    }
    //是否达到节点顶部。测试中发现node.parentNode永远存在,达顶点后上级顶点依然是Program
    if(node.type == "Program"){
        return;
    }
    
    if(node.parentNode){
        point = point + "-";
        detect_async_function(node.parentNode)
    }else{
        //不能获得父节点,是异常的代码,跳过
        in_async_function = true;
        return;
    }
}
detect_async_function(node);
console.log(node.value,node.loc);

//没有检测出异步函数,正常处理
if(in_async_function == false){
    return this.transformNode(node, parentNode);
}

即:在处理字面量时,判断是否处于async函数体中,如是,则跳过。

用此方法修复后,运行混淆加密后的代码正常,如下图所示:

w2sfot
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nodejs-JavaScript Obfuscator-Js代码的混淆加密-命令行操作
插件开发
05-16 1251
JavaScript Obfuscator 是一款功能强大的免费 JavaScript 混淆器,包含多种功能,能将代码混淆成可读性低的代码,看上去是难以阅读的代码,其实具备和之前代码一样的功能,从而起到保护代码的作用。
asar-package-obfuscator:混淆所有.js文件-javascript-obfuscator用于此目的
05-04
asar程序包(javascript混淆混淆asar归档文件中的所有.js文件。 这个怎么运作? 这很简单,但是有效! 取决于您如何设置混淆器。 打包的asar归档文件将被解压缩,混淆并打包回到归档文件中。 所有这一切都是完全自动的。 谢谢! 在这一点上,非常感谢 。
synchrony:javascript-obfuscator清洁剂和反混淆
05-28
同步性 javascript清洁剂和反混淆器(主要是 / ) 用法 # 1. Install deobfuscator globally using yarn/npm yarn global add deobfuscator # OR npm install --global deobfuscator # 2. Get an obfuscated file # 3. Copy file to working directory # 4. Create a config synchrony config ./config.js # 5. Run deobfuscator synchrony deobfuscate ./script.js -c ./config.js # 6. Check the reuslts of your debofuscation at script.cleane
混淆工具JavaScript obfuscator中文帮助文档
aqi22221的博客
05-19 1万+
JavaScript obfuscator JavaScript Obfuscator是一个免费并且功能强大的JavaScript混淆器,其中包含多种功能,可为您的源代码提供保护。 主要特征 变量重命名 字符串提取和加密 废代码注入 平展控制流 各种代码转换 插件 Webpack plugin:webpack-obfuscator Webpack loader:obfuscator-loader Gulp:gulp-javascript-obfuscator Grunt...
JavaScript 混淆与反混淆
最新发布
XOwl_online的博客
02-24 1324
JavaScript 混淆Obfuscation)是指通过一系列技术手段,使 JS 代码变得难以理解和分析,增加代码的复杂性和混淆度,阻碍逆向工程和代码盗用。实际上就是一种保护 JS 代码的手段。那为什么我们需要保护 JS 代码呢 🤔️JS 最早被设计出来就是为了在客户端运行,直接以源码的形式传递给客户端,如果不做处理则完全公开透明,任何人都可以读、分析、复制、盗用,甚至篡改源码与数据,这是网站开发者不愿意看到的。
javascript-obfuscator-ui:JavaScript Obfuscator node.js包的Web UI
02-05
JavaScript混淆器的Web UI 该项目是项目的Web界面。 您可以看到它在这里运行: 运行它 构建React项目: $ yarn # or npm install $ npm run updatesemantic $ npm run webpack:dev 运行快递服务器: $ node server.js 服务器在 执照 版权所有(C)2016-2018 Tiago Serafim 如果满足以下条件,则允许以源代码和二进制形式进行重新分发和使用,无论是否经过修改,都可以: 重新分发源代码必须保留上述版权声明,此条件列表和以下免责声明。 二进制形式的重新分发必须在分
parcel-plugin-obfuscate:使用javascript-obfuscator混淆入口文件的包裹插件
05-07
包裹插件混淆 此插件可让您使用对输入的javascript文件进行。 入门 开始使用您最喜欢的软件包管理器。 用纱安装 纱线添加-D包裹插件模糊处理 使用npm安装 npm install -D parcel-plugin-混淆 在生产模式下运行宗地以混淆代码 使用纱线 纱线交叉环境NODE_ENV =生产包裹构建./index.js 使用npm npx cross-env NODE_ENV =生产包裹构建./index.js 这将运行cross-env,它将NODE_ENV设置为production ,这会在包裹中启用此插件,并在以后混淆编译后的代码。 例子 由此: // original class Something { constructor(){ this.type = "js"; } } 对此: // obfuscated var _0
webpack-obfuscator:用于Webpack的javascript-obfuscator插件
02-26
用于Webpack @ 5的javascript-obfuscator插件和加载器 安装 使用NPM安装该软件包并将其添加到您的devDependencies中: npm install --save-dev javascript-obfuscator webpack-obfuscator 插件用法: var WebpackObfuscator = require ( 'webpack-obfuscator' ) ; // ... // webpack plugins array plugins: [ new WebpackObfuscator ( { rotateStringArray : true } , [ 'excluded_bundle_name.js' ] ) ] 加载程序用法: 在webpack配置中定义一个规则,并使用obfuscat
直接通过javascript-obfuscator命令行混淆js代码
liangshui999的博客
12-20 821
直接通过javascript-obfuscator命令行混淆js代码
JavaScript脚本混淆工具javascript-obfuscator使用
local_752的专栏
09-13 3011
javascript-obfuscator是一个免费的JavaScript代码混淆工具,它功能强大,可以把你的源代码变得“面目全非”,完全没有可读性。还具有部分防调试功能,给JavaScript代码多一层保护。 安装 它支持很多流行的前端打包工具,如Webpack、Gulp、Grunt等都有相应的插件。本文为保持简单,以单独的命令行版本示例。 以Windows环境为例,首先安装Node.js环境,然后在命令行中输入npm install javascript-obfuscator -g 安装完成后,j
使用javascript-obfuscator混淆代码
ljh574649119的专栏
10-27 669
5.然后输入或选择“obfuscate”,即可调用jshman javascript obfuscator,对当前打开的js代码进行混淆。本文演示如何在vs code中调用jshaman扩展,实现非常方便的js代码加密。最简单的办法是使用javascript-obfuscator的命令行工具。如果希望js代码保密,可以使用javascript-obfuscator对代码进行混淆。3.打开一个js文件,然后使用此扩展进行js代码混淆。2.点击左侧的“扩展”,打开后搜索“jshaman”
Javascript Obfuscator代码混淆
08-19
一个简单的js代码混洗工具,配合我写的小程序就能一本万利,简单而又不失华丽的搞定代码混淆这道小工序!
javascriptobfuscator
03-21
js混淆工具,超级好用的。当你微信小程序代码总是说侵权的时候,不防试下这个工具。超级好用的
VUE下javascript-obfuscator 代码混淆
大新软件老杨
06-24 4000
javascript-obfuscator 1.js --output 2.js --compact true --target 'browser-no-eval' --disable-console-output true --debug-protection true --debug-protection-interval true --identifier-names-generator 'hexadecimal' --string-array true --rotate-string-array t
在线Javascript加密混淆工具
Linux,Java,SpringBoot,Python,Lua略知一点
03-31 3677
在线Javascript加密混淆工具 在线Javascript加密混淆工具 在线Javascript Obfuscator 使 javascript 代码更难阅读以保护它。该工具提供了四种使用工具。你可以压缩或格式你的代码,也可以使用 eval 混淆你的代码并对其进行解码。混淆javascript 代码在你的工作中使用时效果很好。 在线Javascript Obfuscator 使 javascript 代码更难阅读以保护它。该工具提供了四种使用工具。你可以压缩或格式你的代码,也可以使用 ev
混淆工具javascript-obfuscator使用简介
热门推荐
楚游香的博客
11-29 2万+
javascript-obfuscator是一个免费的JavaScript代码混淆工具,它功能强大,可以把你的源代码变得“面目全非”,完全没有可读性。还具有部分防调试功能,给JavaSc...
JS逆向时碰到了恶心的死代码怎么办?手把手教你解决!
静觅
06-17 1508
“ 阅读本文大概需要 3 分钟。 ”你是否也曾有过「在逆向时看到一大坨代码,但自己却无从下手」的遭遇?你是否也曾有过「跟着代码跳了很久之后,才发现那一大坨代码其实没有任何作用」的惨痛经历...
Python 爬虫采集知识,JavaScript 压缩,混淆加密技术详解
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
03-29 5679
JavaScript 压缩,混淆加密技术详解 介绍 JavaScript 的重要性 为什么需要压缩、混淆加密JavaScript 压缩 JavaScript 压缩的定义 JavaScript 压缩的原理 常见的 JavaScript 压缩工具 JavaScript 压缩的优缺点 JavaScript 压缩案例 JavaScript 混淆 JavaScript 混淆的定义 JavaScript 混淆的原理 常见的 JavaScript 混淆工具 JavaScript 混淆的优缺点 JavaScript
"webpack-obfuscator": "^0.4.2"适配什么版本javascript-obfuscator
07-27
根据 webpack-obfuscator 插件的文档,"webpack-obfuscator": "^0.4.2" 适配的 javascript-obfuscator 版本范围是 1.x.x。 可以通过在项目的 package.json 文件中指定 javascript-obfuscator 的版本来安装适合的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值