摘要:
一、XMLHttpRequest 发送请求 创建XMLHttpRequest实例 let xhr = new XMLHttpRequest(); 初始化 xhr.open(method, URL, [async, user, password]) method:HTTP方法,通常'GET'或者'PO 阅读全文
摘要:
一、查看TLS指纹的网站 https://tls.browserleaks.com/json https://tls.peet.ws/ https://kawayiyi.com/tls 二、网站防御方式及应对 非法指纹黑名单 应对策略:修改默认指纹(修改TLS hello包的值) httpx示例: 阅读全文
摘要:
一、WebAssembly 简介 WebAssembly是一种可以使用非JavaScript编程语言编写代码,并且能在浏览器上运行的技术方案。借助Emscripten编译工具,能将C/C++文件转成wasm格式,JavaScript可以直接调用该文件并执行其中的方法。 好处 可以隐藏核心逻辑,增大逆 阅读全文
摘要:
对于obfuscator混淆,可以利用AST进行处理,此外还有一些比较特殊的混淆方式,如AAEncode、JJEncode、JSFuck 特殊混淆 1、AAEncode 特征:将js代码转换成颜文字来表示 示例网站:https://utf-8.jp/public/aaencode.html 示例代码 阅读全文
摘要:
一、webpack大致处理流程 webpack打包代码结构示例: window.cache_obj = {} // 用于存储所需要的模块对象 !function (n) { // 参数n:包含所有模块的大数组或对象 var r = {}; // 缓存 window.loader_ = i; // 导 阅读全文
摘要:
一、准备工作 在线工具网站 在线ob混淆:https://obfuscator.io/ 在线AST解析:https://astexplorer.net/ babel官方手册:https://babeljs.io/docs/ NodeJS安装: 参考:https://www.cnblogs.com/e 阅读全文
摘要:
js混淆是把原本可读性比较高的代码,用另外一种或者几种代码进行替换,降低代码的可读性,但是执行效果又等同 常见混淆 字符串转十六进制、unicode编码 //字符串转ASCII码 console.log('abc'.charCodeAt(0)) // 97 console.log('bcd'.cha 阅读全文
摘要:
DBUtils 是一套 Python 数据库连接池包,并允许对非线程安全的数据库接口进行线程安全包装。 一、安装 pip install DBUtils 二、导入模块 # 针对不同版本,可能导入方式存在差别 try: from dbutils.pooled_db import PooledDB fr 阅读全文
摘要:
常见加密、解密算法特征及实现 base64 逆向特征 字符串的长度为4的整数倍 字符串的符号取值只能在 A-Z、a-z、0-9、+、/、= 共计65个字符中,且 = 如果出现,就必须在末尾 索引表:ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxy 阅读全文
摘要:
常见HOOK脚本 hook脚本注入的时机: 对于系统函数,选择在网页运行之前进行hook 对于普通函数,在调用的地方设置断点,运行时注入js hook,在函数被调用之前就进行修改 扩展参考 链接1 链接2 cookie (function () { 'use strict'; var cookie_ 阅读全文