WEB前端逆向学习感想

文章预览

我曾经对Unix、Windows及某些嵌入式系统中软件相关的二进制逆向工程比较擅长，而对WEB前端逆向很陌生。2024上半年学习过一段时间WEB前端逆向，有些感想，对某些初学者或许是个参考。 ☆ F12调试基础 先熟悉F12调试。主要关注三个面板，Console/Sources/Network。先不考虑对抗场景，就拿普通场景练手，熟悉各种基本操作。Network重点关注Initiator列的调用栈回溯。Sources重点关注各种类型的断点如何设置。没有捷径，多用自然熟。 熟悉F12的过程中我接触到axios库，起初在Console中学，后来在nodejs中用得多，该库比较实用。还有个ajaxhook库，我也学了，但后来的逆向实践中几乎没用上过。 练习axios库时，遭遇跨源资源共享(CORS)、Mixed Content、Content Security Policy (CSP)，学会如何处理。比如修改"meta http-equiv"，提供支持CORS的HTTPS服务等等。放狗搜关键字，实测一些用例 ………………………………