扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
给你转帖 javascript加密七种方法:
在新野等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供网站设计、网站制作 网站设计制作专业公司,公司网站建设,企业网站建设,品牌网站建设,全网营销推广,成都外贸网站制作,新野网站建设费用合理。
在做网页时(其实是网页木马呵呵),最让人烦恼的是自己辛辛苦苦写出来的客户端IE运行的javascript代码常常被别人轻易的拷贝,实在让自己的心里有点不是滋味,要知道自己写点东西也挺累的......^*^
但我们也应该清楚地认识到因为javascript代码是在IE中解释执行,要想绝对的保密是不可能的,我们要做的就是尽可能的增大拷贝者复制的难度,让他知难而退(但愿~!~),下面我结合自己这几年来的实践,及个人研究的心得,和大家一起来探讨一下网页中javascript代码的加密解密技术。
以加密下面的javascript代码为例:
SCRIPT LANGUAGE="javascript"
alert("《我爱一起》");
/SCRIPT
一:最简单的加密解密
大家对于javascript函数escape()和unescape()想必是比较了解啦(很多网页加密在用它们),分别是编码和解码字符串,比如例子代码用escape()函数加密后变为如下格式:
alert%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
如何?还看的懂吗?当然其中的ASCII字符"alert"并没有被加密,如果愿意我们可以写点javascript代码重新把它加密如下:
%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
呵呵!如何?这次是完全都加密了!
当然,这样加密后的代码是不能直接运行的,幸好还有eval(codeString)可用,这个函数的作用就是检查javascript代码并执行,必选项 codeString 参数是包含有效 javascript 代码的字符串值,加上上面的解码unescape(),加密后的结果如下:
SCRIPT LANGUAGE="javascript"
var code=unescape("%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B");
eval(code)
/SCRIPT
是不是很简单?不要高兴,解密也就同样的简单,解密代码都摆给别人啦(unescape())!呵呵
二:转义字符""的妙用
大家可能对转义字符""不太熟悉,但对于javascript提供了一些特殊字符如:n (换行)、 r (回车)、' (单引号)等应该是有所了解的吧?其实""后面还可以跟八进制或十六进制的数字,如字符"a"则可以表示为:"141"或"x61"(注意是小写字符"x"),至于双字节字符如汉字"黑"则仅能用十六进制表示为"u9ED1"(注意是小写字符"u"),其中字符"u"表示是双字节字符,根据这个原理例子代码则可以表示为:
八进制转义字符串如下:
SCRIPT LANGUAGE="javascript"
eval("1411541451621645042u9ED1u5BA2u9632u7EBF425173")
/SCRIPT
十六进制转义字符串如下:
SCRIPT LANGUAGE="javascript"
eval("x61x6Cx65x72x74x28x22u9ED1u5BA2u9632u7EBFx22x29x3B")
/SCRIPT
这次没有了解码函数,因为javascript执行时会自行转换,同样解码也是很简单如下:
SCRIPT LANGUAGE="javascript"
alert("x61x6Cx65x72x74x28x22u9ED1u5BA2u9632u7EBFx22x29x3B")
/SCRIPT
就会弹出对话框告诉你解密后的结果!
三:使用Microsoft出品的脚本编码器Script Encoder来进行编码
工具的使用就不多介绍啦!我是直接使用javascript调用控件Scripting.Encoder完成的编码!代码如下:
SCRIPT LANGUAGE="javascript"
var Senc=new ActiveXObject("Scripting.Encoder");
var code='SCRIPT LANGUAGE="javascript"rnalert("《我爱一起》");rn/SCRIPT';
var Encode=Senc.EncodeScriptFile(".htm",code,0,"");
alert(Encode);
/SCRIPT
编码后的结果如下:
SCRIPT LANGUAGE="JScript.Encode"#@~^FgAAAA==@#@ls DD`J黑客防线r#p@#@FgMAAA==^#~@/SCRIPT
够难看懂得吧?但相应的解密工具早已出来,而且连解密网页都有!因为其解密网页代码过多,我就不多说拉!给大家介绍一下我独创的解密代码,如下:
SCRIPT LANGUAGE="JScript.Encode"
function decode()
alert(decode.toString());
/SCRIPT
咋样?够简单吧?它是原理是:编码后的代码运行前IE会先对其进行解码,如果我们先把加密的代码放入一个自定义函数如上面的decode()中,然后对自定义函数decode调用toString()方法,得到的将是解码后的代码!
如果你觉得这样编码得到的代码LANGUAGE属性是JScript.Encode,很容易让人识破,那么还有一个几乎不为人知的window对象的方法execScript(),其原形为:
window.execScript( sExpression, sLanguage )
参数:
sExpression: 必选项。字符串(String)。要被执行的代码。
sLanguage : 必选项。字符串(String)。指定执行的代码的语言。默认值为 Microsoft JScript
使用时,前面的"window"可以省略不写!
利用它我们可以很好的运行编码后的javascript代码,如下:
SCRIPT LANGUAGE="javascript"
execScript("#@~^FgAAAA==@#@ls DD`J我爱一起r#p@#@FgMAAA==^#~@","JScript.Encode")
/SCRIPT
你可以利用方法二对其中的""号内的字符串再进行编码,使得"JScript.Encode"以及编码特征码"#@~^"不出现,效果会更好!
四:任意添加NUL空字符(十六进制00H)
一次偶然的实验,使我发现在HTML网页中任意位置添加任意个数的"空字符",IE照样会正常显示其中的内容,并正常执行其中的javascript 代码,而添加的"空字符"我们在用一般的编辑器查看时,会显示形如空格或黑块,使得原码很难看懂,如用记事本查看则"空字符"会变成"空格",利用这个原理加密结果如下:(其中显示的"空格"代表"空字符")
S C RI P T L ANG U A G E =" J a v a S c r i p t "
a l er t (" 我 爱 一 起") ;
/ SC R I P T
如何?是不是显得乱七八糟的?如果不知道方法的人很难想到要去掉里面的"空字符"(00H)的!
五:无用内容混乱以及换行空格TAB大法
在javascript代码中我们可以加入大量的无用字符串或数字,以及无用代码和注释内容等等,使真正的有用代码埋没在其中,并把有用的代码中能加入换行、空格、TAB的地方加入大量换行、空格、TAB,并可以把正常的字符串用""来进行换行,这样就会使得代码难以看懂!如我加密后的形式如下:
SCRIPT LANGUAGE="javascript"
"xajgxsadffgds";1234567890
625623216;var $=0;alert//@$%%*()((^%^
//cctv function//
(//hhsaasajx xc
/*
asjgdsgu*/
"我爱一起"//ashjgfgf
/*
@#%$^%$96667r45fggbhytjty
*/
//window
)
;"#@$#%@#432hu";212351436
/SCRIPT
至少如果我看到这样的代码是不会有心思去分析它的,你哪?
六:自写解密函数法
这个方法和一、二差不多,只不过是自己写个函数对代码进行解密,很多VBS病毒使用这种方法对自身进行加密,来防止特征码扫描!下面是我写的一个简单的加密解密函数,加密代码如下(详细参照文件"加密.htm"):
SCRIPT LANGUAGE="javascript"
function compile(code)
{
var c=String.fromCharCode(code.charCodeAt(0)+code.length);
for(var i=1;icode.length;i++)
alert(escape(c));
}
compile('alert("《我爱一起》");')
/SCRIPT
运行得到加密结果为:
o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd
相应的加密后解密的代码如下:
SCRIPT LANGUAGE="javascript"
function uncompile(code)
{
code=unescape(code);
var c=String.fromCharCode(code.charCodeAt(0)-code.length);
for(var i=1;icode.length;i++)
return c;
}
eval(uncompile("o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd"));
/SCRIPT
七:错误的利用
利用try{}catch(e){}结构对代码进行测试解密,虽然这个想法很好(呵呵,夸夸自己),因为实用性不大,我仅给个例子
SCRIPT LANGUAGE="javascript"
var a='alert("《我爱一起》");';
var c="";
for(var i=0;ia.length;i++)
alert(c);
//上面的是加密代码,当然如果真正使用这个方法时,不会把加密写上的
//现在变量c就是加密后的代码
//下面的函数t()先假设初始密码为0,解密执行,
//遇到错误则把密码加1,然后接着解密执行,直到正确运行
var d=c; //保存加密后的代码
var b=0; //假定初始密码为0
t();
function t()catch(e){
c="";
for(var i=0;id.length;i++)
b+=1;
t();
//setTimeout("t()",0);
}
}
/SCRIPT
JavaScript作为网站前端的核心知识是非常重要的,但是如何学习JavaScript是很多初学者面对的一个难题,下面我说一下个人对于如何学习JavaScript的一点心得,希望能帮到大家。
1、首先学习基础,尤其是JavaScript与其他语言不同的基础知识。
学习每个编程语言可能都要从基础的变量函数结构等学起,JavaScript相对于其他的编程语言在基础上有一些比较有特点的地方,这些东西是尤其需要我们注意的,比如说自调函数、比如说变量值为空不是null而是undefined的等,这些东西都是和主流的编程的语言如c++、java等是有区别的,所以想要学好JavaScript,这些基础的知识一定要把握好学习好才行。
2、关于学习JavaScript的进阶
JavaScript进阶知识更是有很多难理解的东西和不同于其他语言的东西,这些东西都是深入学习JavaScript的难点,简单的说一下JavaScript是基于对象的浏览器脚本语言,但是为了使JavaScript也能够支持面向对象编程,人们就使用了很多的方法来模拟面向对象的的特点,这些就变成了JavaScript的一些难点,比如说JavaScript的继承要借助原型、比如JavaScript的类需要使用构造函数来构造一个对象等,这些东西都是和其他支持面向对象的语言是不同的,所以就导致了一些难点。关于进阶学习JavaScript,还有JavaScript一些深入的知识需要去理解比如原型链和闭包、比如收函数的作用域执行流程和上下文,这些东西都是JavaScript比较深入的知识、
最后说明,JavaScript作为前端的核心语言绝对没有没有想象的那么简单,要想学好JavaScript除了以上提到的知识和注意点,还需要的就是多动手和实践,我们都知道网页上的所有特效都是借助JavaScript来实现,那么我们就需要在学习JavaScript的过程中多使用原生的JavaScript代码实现一些特效,当然学习使用jQuery等JavaScript类库进行开发也十分的重要,但是这绝对不能是取代我们学习JavaScript的方法。
APIkey 可以点开 amplitude 的settings 里的Projects 中点击想要买埋点的项目中去复制过来,后面的userId是用户的ID,唯一标识
下面就可以在项目中进行埋点了,埋点一般使用的多的就是logEvent 和setUserProperties,来进行一般事件的埋点和用户属性的埋点 ,更多事件可以点击
埋点成功后在项目运行后,在浏览器可以看到有一个amplitude的请求发出,在amplitude网页中的user look-up 可以看到埋点出现的信息,如下图:
产品经理一定是要懂技术的,首先不管你是什么产品,是实体产品也好,还是设计产品也好,甚至是虚拟产品也罢,既然你是产品经理,那对于自己的产品的相关技术参数,文件都要有一定的了解。
这里说的懂,并不是说一定要和你们公司的的技术人员一样钻研的那么透彻,最起码的对于自己的产品祥关的技术环节,基本点技术参数都要熟记于心,有些相关的技术资料可以不用深入考究其原理意思,但一定要能在客户的提问下一一回答,因为如果与客户沟通的时候,难免会遇上一些看懂行业的专业级客户,通常这样的客户就会问出与产品技术方面极为相关的问题,因为专业的客户并不会完全相信你的口头产品承诺,他们更会愿意用实打实的技术资料及参数去对比你们家的产品优势在哪里,劣势在哪里。从而决定是否选择你所提供的产品。这个时候如果你能极其流畅的像你的客户介绍你的产品的相关技术内容,首先客户会对你这个人感到非常的专业,觉得你会非常的靠谱。其次详细的技术参数的介绍会让你的客户对你的产品得到更加详细的信息,这样客户心理会更加愿意选择他们所详细了解的产品。还有就是在公司内部沟通的时候,不懂技术的产品经理在和自己公司里的技术人员沟通的时候会非常的有困难,通常情况下技术人员都有一个通病,那就是他们在研究技术问题的时候超级有耐心,但是在与人沟通的时候会一点耐心都没有,他们希望自己一说你就能听明白,这个时候如果你听不懂,反而会找来他们的反感,从而学习产品技术的渠道就更加的困难。所以在自己空闲的时候,即使是一位产品经理,也应该要了解产品相关的技术。
前端
账户名、密码、验证码 是否为空?
密码是否符合规则(特殊字符、大小写、数字、长度..)
验证码是否正确 (对应时间戳是否过期)
账户是否存在 (未注册、已注销)
密码是否正确 (记录连续输入错误次数,超过5次,账号锁定4小时。或提升验证等级,采取账号+密码+验证码+短信验证)
返回session、token
(1)web从FilManager服务获取验证码
(2)FilManager据wb 上传的时间(长度为 19 位数字,精确到微妙),生成验证码
图片,并记录时间戳对应的验证码。
(3)web获取用户输入的账号,密码(md5加密),验证码信息发行到login svr(今后
application svr 可能还会带上用户使用浏览器类型等用户环境信息)。
(4),login svr通过时间(精确到微妙)获取验证码字符串。
(5)login svr根据 web获取的用户信息动态计算确定用户的认证等级,如果为默认认证方式,验证账号,密码,验证码是否正确,如果正确返回验证成功以及相应的 session ID; login svr还要在 redis 中记录当前用户 session 对应的信息,供鉴权服务使用
(6)如果 login svr动态计算的用户认证级别高于默认级别,则 login svr返回对应的认证级别,web需要根据返回的结果提升认证级别,比如 OTP认证等等
(7) login svr记录用户登入日志(包括但不限于地址等)
输入正确的用户名和密码登录成功
输入错误的用户名密码登录失败
用户名正确,密码错误,是否提示输入密码错误?
用户名错误,密码正常,是否提示输入用户名错误?
用户名和密码都错误,是否有相应提示?
用户名密码为空时,是否有相应提示?
如果用户未注册,提示请先注册,然后进行登录
已经注销的用户登录失败,提示信息友好?
密码框是否加密显示?
用户名是否支持中文、特殊字符?
用户名是否有长度限制?
密码是否支持中文,特殊字符?
密码是否有长度限制?
密码是否区分大小写?
密码为一些简单常用字符串时,是否提示修改?如:123456
密码存储方式?是否加密?
登录功能是否需要输入验证码?
验证码有效时间?
验证码输入错误,登录失败,提示信息是否友好?
输入过期的验证能否登录成功?
验证码是否容易识别?
验证码换一张功能是否可用?
点击验证码图片是否可以更换验证码?
用户体系:
比如系统分普通用户、高级用户,不同用户登录系统后可的权限不同。
如果使用第三方账号(QQ,微博账号)登录,那么第三方账号与本系统的账号体系对应关系如何保存?首次登录需要极权等
登录页面显示是否正常?文字和图片能否正常显示,相应的提示信息是否正确,按钮的设置和排列是否正常,页面是否简洁壮观等。
页面默认焦点是否定位在用户名的输入框中
首次登录时相应的输入框是否为空?或者如果有默认文案,当点击输入框时默认方案是否消失?
相应的按钮如登录、重置等,是否可用;页面的前进、后退、刷新按钮是否可用?
快捷键Tab,Esc,Enter 等,能否控制使用
兼容性测试:不同浏览器,不同操作系统,不同分辨率下界面是否正常
不登录:浏览器中直接输入登录后的地址,看是否可以直接进入
登录成功后生成的Cookie,是否是httponly (否则容易被脚本盗取)
用户名和密码是否通过加密的方式,发送给Web服务器
用户名和密码的验证,应该是用服务器端验证, 而不能单单是在客户端用javascript验证
用户名和密码的输入框,应该屏蔽SQL 注入攻击
用户名和密码的的输入框,应该禁止输入脚本 (防止XSS攻击)
错误登陆的次数限制(防止暴力破解)
考虑是否支持多用户在同一机器上登录;
考虑一用户在多台机器上登录
单用户登录系统的响应时间是否符合"3-5-8"原则
用户数在临界点时并发登录是否还能符合"3-5-8"原则
压力:大量并发用户登录,系统的响应时间是多少?系统会出现宕机、内存泄露、cpu饱和、无法登录吗?
稳定性: 系统能否处理并发用户数在临界点以内连续登录N个时的场景?
1.主流的浏览器(IE6,7,8,9, Firefox, Chrome, Safari等)
2.不同的平台,比如Windows, Mac
3.移动设备上,比如Iphone, Andriod
4.不同的分辨率能否正常显示
连续输入3次或以上错误密码,用记是否被锁一定时间(如:15分钟)?时间内不允许登录,超出时间点是否可以继续登录。
用户session过期后,重新登录是否还能重新返回这前session过期的页面?
用户名和密码输入框是事支持键盘快捷键?如:撤销、复制、粘贴等等
是否允许同名用户同时登录进行操作?考虑web和app同时登录
手机登录时,是否先判断网络可用?
手机登录时,是否先判断app存在新版本?
是否支持单点登录?
是否有埋点接口
基本功能测试点
1.输入正确的用户名和密码,点击提交按钮,验证是否能正确登录。
2.输入错误的用户名或者密码, 验证登录会失败,并且提示相应的错误信息。
输入错误的用户名和密码
输入正确的用户名,错误的密码
输入错误的用户名,正确的密码
3.登录成功后能否能否跳转到正确的页面
4.用户名和密码,如果太短或者太长,应该怎么处理
5.用户名和密码,有特殊字符(比如空格),和其他非英文的情况
6.密码是否区分大小写
7.密码简单,是否提示
8.用户名和密码前后有空格的处理
9.密码是否加密显示(星号圆点等)
10.牵扯到验证码的,还要考虑文字是否扭曲过度导致辨认难度大,考虑颜色(色盲使用者),刷新或换一个按钮是否好用
11.登录页面中的注册、忘记密码,登出用另一帐号登陆等链接是否正确
12.输入密码的时候,大写键盘开启的时候要有提示信息。
13.记住用户名的功能
14.登陆失败后,不能记录密码的功能
界面测试(UI Test)
1.布局是否合理,2个testbox 和一个按钮是否对齐
2.testbox和按钮的长度,高度是否复合要求
3. 界面的设计风格是否与UI的设计风格统一
4. 界面中的文字简洁易懂,没有错别字。
性能测试(performance test)
1.打开登录页面,需要几秒
2.输入正确的用户名和密码后,登录成功跳转到新页面,不超过5秒
安全性测试(Security test)
0 不登录:浏览器直接输入登陆后,能否直接进入
1.登录成功后生成的Cookie,是否是httponly (否则容易被脚本盗取)
2.用户名和密码是否通过加密的方式,发送给Web服务器
3.用户名和密码的验证,应该是用服务器端验证, 而不能单单是在客户端用javascript验证
4.用户名和密码的输入框,应该屏蔽SQL 注入攻击
5.用户名和密码的的输入框,应该禁止输入脚本 (防止XSS攻击)
6.错误登陆的次数限制(防止暴力破解)
7. 考虑是否支持多用户在同一机器上登录;
8. 考虑一用户在多台机器上登录
易用性测试(Usability Test)
1. 是否可以全用键盘操作,是否有快捷键
2. 输入用户名,密码后按回车,是否可以登陆
3. 输入框能否可以以Tab键切换
兼容性测试(Compatibility Test)
1.主流的浏览器下能否显示正常已经功能正常(IE,6,7,8,9, Firefox, Chrome, Safari,等)
性能测试
1.单用户登陆系统的响应时间是否符合2-5-8原则
2.用户数在临界点时并发登陆是否还能符合2-5-8原则
3.压力:大量并发用户登陆,系统的响应时间是多少?系统会出现宕机、内存泄露、CPU饱和、无法登陆吗?
4.稳定性:系统能否处理并发用户数在临界点以内连续登录N个时的场景?
其他测试
1.连续输入3次或以上错误密码,用户被锁定,联系系统管理员解锁
2,用户session过期后,重新登陆是否还能重新返回到session过期的页面
3、用户名和密码是否支持键盘快捷键,比如撤销、复制、粘贴
4.是否允许同名用户同时登陆进行操作
5.是否支持单点登陆
6.是否有埋点接口
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流