赏金猎人|JS逆向调试之动态替换

文章预览

“ 大部分情况下在对有js加密的网站进行渗透测试时，是需要对算法进行逆向分析Debug，获取和修改明文，再利用 aotodecoder 等插件实现数据包的明文接发。不过亦存在没办法直接模拟或者抽离加解密函数的情况，比如使用了自定义的加解密算法、进行了高度混淆难以分析、混杂了其他业务逻辑代码等。这时候为了快速进行测试，可以采用本文的方法，动态替换对应的JS文件进行JS劫持。 （本文首发博客：https://sanshiok.com/archive/17.html） 0x01 启用本地替换功能 这里用的是 Chrome 游览器做演示,F12打开开发者调试工具： 本地新建一个文件夹用于存放 js 文件，选择允许: 添加完成后，勾选本地启用覆盖： 0x02 选择替换文件 来到刚才新建的本地替换的文件夹中，对js文件修改， Ctrl+S 进行保存即可 0x03 实例 为了更好的展示调试的效果，写了一个 实例 （ 向公众 ………………………………