前端JS接口加密攻防实操

前端JS接口加密攻防实操

背景

在爬虫过程中,对数据接口各类加密的经历总结,无头消耗资源效率不高,采用浏览器兜底解密+协程并行

青铜版(混淆+对称加密|签名nonce等)

解:根据API 调用栈,断点找到request参数前后逻辑,拿到密钥仿写

白银版(debug限制devtools+加密js二次混淆加密)

解:debug解决方式

针对指定的路径进行断点,修改响应文件

二次混淆加密:1.总有调用栈,通过devtools->console试验找到的方法调用是否成功有效,并单独放到html中测试执行

铂金版

  • 封闭js无调用栈(例如:js文件通过js加密网每10s生成密钥并混淆放入localstorge,key命名可能并不是明显的密钥,难以察觉,而js文件难以直接查找到密钥,可以采用:1,devtools全局检索 2,将js文件放入graalvm/Selenium/PhantomJS中执行,执行结果返回给外部

    graalvm

钻石版

js加密防护

  • js使用navigator这个浏览器系统变量可以判断navigator.webdriver是否被自动化测试驱动(由于大部分自动化测试都会有隐藏全局字段,例如:Selenium存在很多隐藏全局字段,所以js可以判断是否被无头浏览器执行,不知道覆写哪些字段绕过)
  • js 可以调用浏览器特有的冷门字段作为加密盐,同时将某些字段混入,方便后端日志分析账户查封等
  • 单独一个不起眼的js文件(混水摸鱼),并保持封闭,每次不同的冷门请求头混入签名中,不定期服务器上更新该js,同时不要返回响应提示

js解密

  • 针对上面的navigator相关,可先执行js,并代理navigator的调用,监听看加密中调用了哪些方法,并针对性进行覆写

    其他冷门字段加密的方式费时间,只能直接拿js执行查看使用字段按上面思路排查

想到再补充AI FACE破解相关

相关推荐
ylscode1 天前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
DianSan_ERP1 天前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
搭贝1 天前
低代码平台构建EHS环境健康安全管理系统:从隐患排查到合规审计的全流程实操指南
安全·低代码
碎_浪1 天前
给键盘党的英语记忆工具:我做了一款「打字背单词」桌面应用
前端·程序员·ai编程
阿成学长_Cain1 天前
Linux dirs命令详解|Bash目录堆栈管理快速切换目录实战教程
linux·运维·前端·数据库
多加点辣也没关系1 天前
JavaScript|第4章:类型转换
开发语言·javascript
yqcoder1 天前
httpOnly 是什么,又有什么用?
开发语言·前端·javascript
IT_陈寒1 天前
Java的Stream.parallel()把我CPU跑爆了,这种优化要谨慎
前端·人工智能·后端
小皮虾1 天前
小程序首页性能优化实战:从 4 秒到 1.8 秒
前端·微信小程序