这篇文章探讨立足点为(商业服务)蜜獾运用原生js源代码获取jsonp接口的环节与检测&攻击
防御技巧.这篇文章不提拱其他制成品扩展程序及其检测,只是提拱实例源代码.因为近期参加干
了某些护网行动前的演练新项目,在这个环节中,隔三差五有其他攻击队踩了蜜獾造成被防御方
逆向朔源.
以前或多或少掌握过好多个当今市场的(商业服务)企业网站蜜獾,了解大约核心技术点如下所示
:硬件配置jsonp接口数据资料,硬件配置蜜獾企业网站数据资料,织梦仿站(提拱目标企业网站
扒取网页页面静态数据文件,功能模块没法常规应用)2次更改后的源代码(功能模块可以用常规
应用,可是整个数据资料整个为假数据资料,或是是简化以后的源代码)等候踩蜜獾,在硬件配置
蜜獾环节的情况下,实际上便会将早已硬件配置好的jsonp接口所转化成的js文件(固定不动|日
常动态)URL,插进到蜜獾中的静态数据文件里边.为此来做到只要是你点开蜜獾企业网站,那麼
原生js可能全自动载入而且运行获取整个jsonp接口的数据资料,随后将数据资料回到至后端开
发.
:硬件配置jsonp接口数据资料,硬件配置蜜獾企业网站数据资料,织梦仿站(提拱目标企业网站
扒取网页页面静态数据文件,功能模块没法常规应用)2次更改后的源代码(功能模块可以用常规
应用,可是整个数据资料整个为假数据资料,或是是简化以后的源代码)等候踩蜜獾,在硬件配置
蜜獾环节的情况下,实际上便会将早已硬件配置好的jsonp接口所转化成的js文件(固定不动|日
常动态)URL,插进到蜜獾中的静态数据文件里边.为此来做到只要是你点开蜜獾企业网站,那麼
原生js可能全自动载入而且运行获取整个jsonp接口的数据资料,随后将数据资料回到至后端开
发.
下面的图为某蜜獾获取jsonp完成数据获取的一部分截屏:根据前文的简述,大伙儿应当都大约
简洁明了的对该类蜜獾有了个大约的掌握,那麼针对之上这类形式的企业网站蜜獾检测就很
省事了,真实能够分成如下所示好多个方法步骤:
简洁明了的对该类蜜獾有了个大约的掌握,那麼针对之上这类形式的企业网站蜜獾检测就很
省事了,真实能够分成如下所示好多个方法步骤:
打开网站,查看源文件,搜索整个js文件,浏览js文件是不是有特点。假如之上4个方法步骤
全部都是人工服务来运行,那麼许多 人在第1步的情况下就早已中招了,你的数据资料早已被
盗走了.当然可以直接跳到第2个方法步骤,但是也是好烦的一件事情.针对浏览器插件有过应
用或是编程过的朋友应当了解,电脑浏览器的扩展程序许多 情况下能够协助我们完成许多事
儿,例如shodan的扩展程序,在点开一个企业网站后能够全自动去快速查询该企业网站的某
些数据资料,那麼我们还可以做一个类似于的扩展程序,可是除开要完成以上所述的4个功能
模块点之外,还须要完成针对网页页面中开展post请求的情况下对post请求的信息开展具体
分析,假如辨别出来为蜜獾原生js源代码,则阻隔该原生js源代码载入的功能模块.为此来完成
蜜獾,可是不容易被窃取数据资料的功能模块.在开展真实编程检测的情况下,遇到了某些凹
坑,假如该蜜獾在你浏览以后才加上了该扩展程序,或是初次屏蔽以后再一次浏览,前端开发
为了更好地提升载入时长,可能从缓存数据中载入js文件,从而对电脑浏览器整个缓存清理
了个短期内内的缓存数据时长.
全部都是人工服务来运行,那麼许多 人在第1步的情况下就早已中招了,你的数据资料早已被
盗走了.当然可以直接跳到第2个方法步骤,但是也是好烦的一件事情.针对浏览器插件有过应
用或是编程过的朋友应当了解,电脑浏览器的扩展程序许多 情况下能够协助我们完成许多事
儿,例如shodan的扩展程序,在点开一个企业网站后能够全自动去快速查询该企业网站的某
些数据资料,那麼我们还可以做一个类似于的扩展程序,可是除开要完成以上所述的4个功能
模块点之外,还须要完成针对网页页面中开展post请求的情况下对post请求的信息开展具体
分析,假如辨别出来为蜜獾原生js源代码,则阻隔该原生js源代码载入的功能模块.为此来完成
蜜獾,可是不容易被窃取数据资料的功能模块.在开展真实编程检测的情况下,遇到了某些凹
坑,假如该蜜獾在你浏览以后才加上了该扩展程序,或是初次屏蔽以后再一次浏览,前端开发
为了更好地提升载入时长,可能从缓存数据中载入js文件,从而对电脑浏览器整个缓存清理
了个短期内内的缓存数据时长.
