保姆级前端JS加密对抗（附带靶场）

文章预览

“ JS加解密是目前黑盒渗透测试中非常大的痛点, 为了满足等保需求, 越来越多行业的内部系统使用了加密技术对HTTP的请求体加密, 增加签名, 时间戳, RequestId等防止进行数据包的抓包改包. 这篇文章就把网络上一些流行的JS逆向后进行数据包的抓包改包方式来个大汇总, 希望能够帮助到大家入门， 提高黑盒渗透的水平。 值得注意的一点是, 本篇 不太适合完全不懂代码 的同学看, 因为介绍的工具和方法均需要对JS和python等代码有一定的了解, 关于JS加密这点没法一蹴而就, 只能慢慢的学习。 环境 环境靶场： http://39.98.108.20:8085/ 各位高抬贵手， 写了几个逻辑漏洞，可以自己试试，但别把服务器搞崩了 项目地址： 0ctDay/encrypt-decrypt-vuls: 加解密逻辑漏洞靶场 (https://github.com/0ctDay/encrypt-decrypt-vuls/) 可以根据需求自行修改 说到环境本人也是下了很大的心血，毕 ………………………………