龙空技术网

JS逆向:字符串拼接混淆和浏览器canvas指纹

火星异端 1022

前言:

当前小伙伴们对“js拼接字符串性能”可能比较看重,大家都需要学习一些“js拼接字符串性能”的相关知识。那么小编在网络上搜集了一些有关“js拼接字符串性能””的相关内容,希望咱们能喜欢,大家一起来学习一下吧!

字符串拼接反爬原理

为了加大JS的阅读难度和调试难度,字符串拼接构成可执行的JS方法(document,avigator,window)是比较常见的策略。比如常用的全局搜索变量名在这种情况下就会失效,同时很多新手会觉得很难而放弃爬取(眼睛都会看花)。

下面简单看看老朋友之家的反爬:

1.自定义字体(破解思路可以看看我前面的文章)。ttf之类的文件本质就是矢量图,矢量图的形状让我们人眼识别出某个字的字形,从而达到反爬的效果。解决办法:一笔一划自有其规则,抽象出规则即可;懂算法的可以用K近邻算法解决.其实本质就是字形看起来差不多。

2.js混淆。每一个段落都带有一段JS,执行JS渲染出合理的效果(注意是通过CSS样式渲染)。注意其中随机的变量名,只要耐心拼接就会发现最后拼接:document之类的可执行JS方法。这部分很简单,只要耐心即可。只要JS能执行,你就可以读出

散列的字符,用变量名来加大调试难度

老朋友之家PC端源码

JS渲染后的代码

随机取一段JS代码格式化后的效果

变量名拼接

canvas指纹

每一种浏览器都会使用不同的图像处理引擎,不同的导出选项,不同的压缩等级,所以每一台电脑绘制出的图形都会有些许不同,这些图案可以被用来给用户设备分配特定编号(指纹),也就是说可以用来识别不同用户,一般情况下用户不会去更换硬件设备,所以canvas可以很好的指定当前用户的浏览器,但是当多个用户的硬件设备,浏览器一致时就特别容易产生相同的指纹,所以canvas指纹并不能完全的替代cookie作为用户的身份验证,但是可以作为辅助的验证信息。

下面是某著名安全公司的canvas指纹生成代码

某验canvas指纹代码

个人思路:

请着重看看上面原理加粗的地方。既然canvas指纹是收集用户机器设备的一些细节,那就证明了即使是相同型号的机器指纹极大可能是不一样的,不然同工厂的相同机器将会出现大量的相同指纹即安全公司并没有可能把市面上所有的设备指纹收集,他们只能通过这个指纹来判断两个指纹是否一致,是否为恶意用户即随便伪造他也不知道是否是真实的设备。

以上只是个人猜想,还未校验。

写在最后

本来是用某验的fullpage.js文件来详解字符串拼接来加密内容的,但是内容比较多,就放到下一次分享。

标签: #js拼接字符串性能