JavaScript黑科技:隐秘执行

举报
JsJiaMi 发表于 2023/04/14 09:39:30 2023/04/14
【摘要】 JavaScript黑科技:隐秘执行如果能使网页中的JavaScript代码隐密的加载、隐密的执行,那对于保护JavaScript代码来说是很有利的。本文将探索、演示一种隐秘执行JavaScript代码的技术。源码如下:<html><script> window.onload = function () { var xhr = new XMLHttpRequest...

JavaScript黑科技:隐秘执行

如果能使网页中的JavaScript代码隐密的加载、隐密的执行,那对于保护JavaScript代码来说是很有利的。

本文将探索、演示一种隐秘执行JavaScript代码的技术。

源码如下:

<html>
<script>
    window.onload =  function () {
        var  xhr =  new  XMLHttpRequest();
        //获取png文件
        xhr.open("GET" , "http://127.0.0.1:2080/backup/js_png/test.png");
        xhr.send("");
        xhr.onreadystatechange = function(){
            if(xhr.readyState == 4 && xhr.status == 200){
                console.log(xhr.responseText);
                //执行png文件中的js代码
                eval(xhr.responseText);
            }
        }
    }
</script>
</html>

上面是前端html页面代码,其原理是:当页面加载完成后,通过Ajax的方式,请求一个png图片文件,获取到png文件后,将文件内容作为js代码进行执行。与之对应的,是服务端的png文件:

即:看似一个png图片文件,其实是javascript文件,以png为后缀,是为了在传输时掩人耳目,让他人以为只是一张图片。如:

运行效果

这样便实现了网页中无此js代码、js文件,开发者工具中也看不到js文件加载,但js功能被执行的效果。

但是,有心之人可能从两个方面察觉到异常。

其一,页面中Ajax请求之处:

其二,打开伪装为png的js文件可能被看到js代码:

火狐浏览器,无法识别:

Chome浏览器,可识别为js:

对比,可将JS代码混淆加密,进一步提高安全性。

如:前端js代码用JShaman混淆加密后,变的无法看出Ajax请求逻辑:

如:后端的js文件,用jjencode加密使其看似乱码:

这样,双端JS代码都被加密,更难被分析,执行也就变的更加隐密。

【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。