JS逆向|加密参数定位的另一种方法及风控的一些思考

最新推荐文章于 2025-06-23 10:06:22 发布
原创 最新推荐文章于 2025-06-23 10:06:22 发布 · 2.8k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#定位 #python #js #javascript #web

以下内容都是跟着哲哥的直播视频学的,还好我会举一反三,话不多说,直接开干吧。

下图是某验的 w 加密参数:

如果你直接搜索"w" 的话,是搜索不到的,那怎么办?你可以看别人是怎么定位的,也可以通过AST还原某些代码了再来搜索。

这里介绍一种网上没有介绍的方法,当然,也不是通用的。

一,打开Memory面板,翻到下面,点击 Take snapshot按钮:

二,复制 w 参数的前一部分值,比如我这里复制的是"2BUGNimv)zBD5tAPODtz":然后切换到Memory面板:

在上图的这个区域内按下 CTRL + F 按钮,输入刚才复制的一部分字符串并回车:

然后把鼠标移动到下面的 Object 面板,可以看到 w 这个 key 都直接显示出来了。

最低0.47元/天 解锁文章

新学期VIP享超值加赠
Android逆向基础入门
十一姐的博客
01-24 1万+
目录一、基础App数据抓取1、App抓包知识了解二、Android_apk逆向1、Android逆向名称2、jadx反编译工具3、JEB反编译工具 一、基础App数据抓取 1、App抓包知识了解 常用的拦截抓包工具有Charles、Fiddler、mitmproxy:大部分app使用的数据通信协议基于HTTP/HTTPS,可通过抓包查看来模拟url请求 常用的自动化工具有Appium、Airtest:就相当于web端的selenium 二、Android_apk逆向 1、Android逆向名称 每个a
js逆向加密参数定位方法
Deng872347348的博客
10-14 2189
js逆向加密参数定位方法
js加密参数定位
安卓世界库
07-23 1155
当我们抓取网页端数据时,经常被加密参数加密数据所困扰,如何快速定位这些加解密函数,尤为重要。本片文章是我逆向js时一些技巧的总结,如有遗漏,欢迎补充。所需环境Chrome浏览器。
JS逆向学习之寻找加密点(二)
最新发布
m0_67170526的博客
06-23 1639
在前端进行复杂的请求操作时,肯定会经过一系列从A函数-->B函数-->C函数-->D函数-->E函数之类的流程, 那么在这个流程中,假设D函数是加密函数,那么ABC函数中原始请求参数均是明文的,这就是明文点,找到明文点后再一步步调试,观察明文参数从什么时候开始变成密文,其实就能顺腾摸瓜找到加密函数了。
JS逆向加密参数定位
鬼手的博客
01-11 3714
当我们对网络请求进行抓包分析之后,需要用开发者工具对加密参数进行全局搜索。当搜索不到加密参数的时候,应该采取什么解决方法定位。还有一个应用场景是我们发现请求服务端的时候有一个cookie,而这个cookie又不是服务端返回的,那么它很有可能就是JS生成的,怎么快速定位这个cookie生成的地方。
JS逆向加密参数生成位置跟踪分析
编程探索与数字构建 | Python与Java之旅
07-14 783
常用的JS逆向操作方法
Akamai-1.75版本-_abck参数生成-js逆向分析
Ig_thehao的博客
06-01 4265
Akamai js逆向分析
JS加密秒杀方案—远程方法调用JSRPC(超详细)
weixin_62714329的博客
10-12 4930
JS逆向本就是一件费时间的事情,这时候小天向大家介绍一种技术:JSRPC ,它可以使得这一情况迎刃而解。
猿人学web端爬虫攻防大赛赛题解析_第六题:js 混淆 - 回溯
仙路尽头谁为峰
04-24 1498
第六题:js 混淆 - 回溯1、前言2、题目理解3、加密原理解析3.1、加密位置判断3.2、解密_萌新试错版3.3、解密_老手经验版4、代码实现过程4.1、坑一:风控不通过4.2、坑二:参数q设置有误4.3、完全体代码5、结语6、参考文献 1、前言 万万没想到,距离上次做完第四题之后,再次动手写猿人学赛题解析的博客已经是四个多月之后了。其中各种艰辛,难以言表,只能说逆向这鬼东西水太深了,要掌握的各种知识和骚操作是真的不少,奈何自己人菜瘾还大,不信邪非要靠自己手撕代码,想在不借助外力的情况下,自己把代码还原出
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 2170
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
如何查找对参数加密js代码
qq_42636010的博客
09-03 2887
遇到请求有加密参数一般是去百度,但是从没有人说怎么找到的,都是直接说哪一个是加密函数。 于是向看看别人怎么找js代码的,一般是在网页中F12后按Ctrl+Shift+F全局搜索加密参数的名字,但是有些js代码是加密的直接搜参数是搜不到的,最常见的就是这种: ????我要搜索一个_sn,但是全局搜索搜索一下神么都没有,原因是_sn被加密了,直接搜搜不到,那么换成这种加密方式使用unicode码代替...
探索JavaScript逆向工程与风控等级
weixin_52001594的博客
06-13 1117
JS逆向工程和风控技术之间的对抗是一个不断演进的过程。随着逆向技术的发展,安全措施也在不断升级,以保护代码和数据的安全。理解并实施适当的风控策略,对于保护JavaScript应用免受恶意逆向分析和攻击至关重要。在这个对抗中,安全意识和技术的不断提升是保持竞争力的关键。4o。
Python 爬虫进阶必备 | 某视频数据分析平台加密参数分析(终于我还是手把手扣了代码)...
咸鱼学Python的博客
08-18 613
今日目标网站aHR0cHMlM0EvL3hkLm5ld3JhbmsuY24vZGF0YS90aWt0b2svcmFuay9vdmVyYWxs这个网站是昨天在系列课的交流群里看到的,正好缺...
JS逆向新技术--JSRPC
Harden13_的博客
03-26 7643
RPC 技术不需要加载多余的资源,稳定性和效率明显都更高,RPC 不需要考虑浏览器指纹、各种环境,如果风控不严的话,高并发也是能够轻松实现的,相反,由于 RPC 是一直挂载在同一个浏览器上的,所以针对风控较严格的站点,比如检测 UA、IP 与加密参数绑定之类的,那么 PRC 调用太频繁就不太行了。总之 RPC 技术还是非常牛的,除了 JS 逆向,且没有针对 RPC 进行检测的话,可以说是目前比较万能、高效的方法了,一定程度上真正做到了加密参数一把梭!!
Python反爬:利用js逆向和woff文件爬取猫眼电影评分信息
坚持不懈的大白的博客
01-21 1278
待写中
js 对 URL 参数进行 加密 解密
weixin_33889665的博客
05-04 3292
2019独角兽企业重金招聘Python工程师标准>>> ...
数据爬取 js 分析(二):对加密参数进行 js分析
Herishwater的博客
06-02 1738
接着上期对 post 请求中 form data 数据加密的分析,今天我们接着分析 get 请求中 加密参数的分析。 一、实例网站 本实例的网站是七麦数据中国 App Store 排行榜,继续学习使用 chome 浏览器的 devtool 工具,对 js 进行分析,首先需要找到加密位置,然后提取出 js 代码,进行设计实现同等功能,最后转换为 Python 实现,从而实现对数据的爬取。 二、页面...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值