1. 什么是js逆向?
js逆向是指通过分析JavaScript代码来了解网页或应用的工作原理,发现关键信息或漏洞的过程。
2. 为什么要学js逆向?
学习js逆向可以帮助我们加深对JavaScript语言的理解,发现网站或应用的漏洞,也可以用于一些安全研究。
3. js逆向的基本步骤是什么?
基本步骤:查看源代码->断点调试->分析变量、函数、事件等->查找关键逻辑和信息->总结分析
4. 如何查看网页源代码?
可以在浏览器中右键查看源代码,或使用开发者工具的Sources面板查看。
5. 如何使用开发者工具断点调试js代码?
可以在Sources面板中设置断点,然后刷新网页或交互执行代码,程序会在断点处暂停,可以查看变量值、调用栈等。
6. 什么是变量、函数、对象、作用域等js基本概念?
变量是用于存储数据的值;函数是执行一个动作或计算值的代码块;对象是保存属性和方法的数据结构;作用域决定了如何查找变量。
7. 如何分析js变量命名规律找关键变量?
可以分析变量的前缀、类型等命名规律,寻找与业务功能相关的变量,如uid、name、password等。
8. 如何通过定时器分析setTimeout和setInterval函数?
可以在这两个函数中设置断点,分析回调函数和间隔时间,以理解其定时逻辑。
9. 如何通过事件查找绑定事件的函数?
可以在Sources面板中搜索事件名称,如click,找到对应事件回调函数。
10. 如何分析js字符串讲解加密算法?
可以检查字符串操作函数如replace、split、slice等,分析字符串加密方式,如字符替换、base64、AES等。
11. 如何分析js数组找关键信息?
可以查看数组初始化方式和元素,判断是否存储了关键数据或状态。
12. 如何分析js对象找关键信息?
可以查看对象的属性和方法,判断是否存储了与业务逻辑相关的信息,如用户数据等。
13. 了解js常用内置对象如String、Array、Object、Math等?
这些内置对象提供了各种方法用于操作字符串、数组、对象等。需要了解其方法以分析相关逻辑。
14.如何分析js网站或小程序的业务逻辑?
可以通过查看函数名称、变量、事件等分析交互逻辑和程序流程,理解其主要业务功能。
15. 熟练掌握查找代码中eval()、 document.write()等函数?
这些函数可以执行字符串形式的JS代码,需要注意检查是否被用来生成可执行的恶意代码。
16. 如何通过console优化调试效率?
可以在关键函数及事件中添加console.log来输出变量值,快速检查程序流程和调试。
17. 如何分析ajax请求和响应数据?
可以在XHR ReadyState为4时设置断点,检查请求地址、方法、响应数据等,分析前后端交互。
18. 了解js逆向常用的脚本注入方法?
常见的有XSS、 CSRF、Clickjacking等,用于插入恶意JS代码到网页。
19. 熟练掌握查找加密信息的常用方法?
常用方法有字符串/十六进制反转、Base64/AES解密、 Hash碰撞等。
20. 了解Node.js和爬虫在js逆向中的作用?
Node.js可以用于写爬虫,抓取JS逆向学习相关的网站源代码;爬虫可以批量下载网页以分析相同框架或业务逻辑的网站。
