保姆级教程---前端加密的对抗（附带靶场）

文章预览

文章来源：奇安信攻防社区 链接：https://forum.butian.net/share/3728 JS加解密是目前黑盒渗透测试中非常大的痛点, 为了满足等保需求, 越来越多行业的内部系统使用了加密技术对HTTP的请求体加密, 增加签名, 时间戳, RequestId等防止进行数据包的抓包改包. 这篇文章就把网络上一些流行的JS逆向后进行数据包的抓包改包方式来个大汇总, 希望能够帮助到大家入门， 提高黑盒渗透的水平。 环境 环境靶场： http://39.98.108.20:8085/ 各位高抬贵手， 写了几个逻辑漏洞，可以自己试试，但别把服务器搞崩了 项目地址： 0ctDay/encrypt-decrypt-vuls: 加解密逻辑漏洞靶场 (github.com) 可以根据需求自行修改 说到环境本人也是下了很大的心血，毕竟项目上遇到的存在前端加解密的系统都是保密性质的， 不太好当作公开文章复现学习所使用。在网上找了很久也没现成的，索性自己搞了 ………………………………