JS逆向是在爬虫或POC脚本访问请求时,链接请求需要携带动态生成的请求头参数,比如常见的csrf请求头,诸如此类的限制来实现反爬。
01逆向环境
- Node.js14.0以上版本- 官网下载地址:https://nodejs.org/en/download/- 教程:https://www.runoob.com/nodejs/nodejs-install-setup.html
- Chrome浏览器 / Firefox浏览器- Chrome官网:https://www.google.cn/intl/zh-CN/chrome/- Firefox官网:http://www.firefox.com.cn/
- VScode- 官网下载地址:https://code.visualstudio.com
02以谷歌浏览器为例
我们对网页请求参数逆向时需要通过浏览器对其进行分析,需要对浏览器非常熟悉,先来介绍一下浏览器功能,了解过后就开始案例模拟。
- 右键页面 -> 检查 | 按F12触发
- Element面板*下元素断点:选择Break on->subtree modification
- Console面板勾选如下设置,此面板主要用于查看开发日志以及与JS交互。
- Sources面板此处有3个模块在逆向过程常用,在以后教程会单独举例讲。Page板块页面加载所加载的资源都在这里,具体内容可以点开后下断点。Overrides板块
此板块用于项目重写,在Page页选择跳到Overrides的话就可以直接本地替换掉原有的文件。Snippets板块这个板块可以自写脚本,可以直接在浏览器本地运行抠下来的代码,点击➡️即可。 - Network板块
可以看到网页加载时的请求链接,可以看到加密的参数这些情况,具体在后面会说到。
03下节预告
直接从实战来了解过程这样学习是非常迅速的,下节我们将直接通过一个DEMO案例来了解如何设置断点,如何抠取代码,如何将代码在本地运行,并且通过python调用成功。
声明:来自卫界安全-阿呆攻防,仅代表创作者观点。链接:https://eyangzhen.com/3630.html
