最近和其他师傅挖洞聊天的时候,聊起来说现在好多网站都有无限debugger和禁止打开F12开发者工具,给挖洞过程中造成了很大困难,好多师傅都是之前专注于逻辑漏洞挖掘,近期正好js方面找接口分析加密内容等都需要调试js,所以正好借此机会给大家稍微讲讲我平时遇到无限Debugger和禁用F12开发者工具的解决方案。因为大家都明白大师在js这块挺菜的。如果说讲的内容大家有啥听不明白的,大家多海涵。
0x01 基础知识:什么是反调试?了解地图大师的都知道,大师的受众多办事新手师傅,所以大师需要从头把这块技术讲的细节一点。虽然我不会写很理论的东西,但是有时候还是需要强调一下理论的。
反调试是一种代码保护技术,通过在程序中植入特定检测逻辑来阻止或干扰开发者工具的调试分析。它能够检测浏览器开发者工具的开启状态,在发现调试行为时自动触发无限循环、异常抛出或代码混淆等干扰手段,有效防止代码被逆向工程分析和恶意篡改。这种技术广泛应用于保护商业软件的算法逻辑、防止网络爬虫抓取关键数据以及维护Web应用的安全性,是现代Web开发中重要的安全防护措施之一。
用地图大师自己的话说:他就是一种给你挖洞过程增加困难的技术。:对于web方面,反调试就是避免我们安全人员去分析页面js代码,例如打不开F12、或者页面无限debugger(干扰调试),或者是对js内容进行混淆即使我们能够读代码我们也不能很好的理解代码。遇到这种情况我们就要反反调试。
0x02 第一种困难的解决方案:打不开F12怎么办?此处案例以爱企查官网为例,大家也可以自己看完文章后动手试试:https://aiqicha.baidu.com/
该页面F12是打不开的,这里有两种情况:
(1)可以在其他网页打开F12,然后将你要访问的网站复制到网址栏里
部分网页可使用此种方法曲线打开F12: