一句防反代。

Host.HowPick

qiqi13245 发表于 2013-9-4 00:22
还有一个方式就是静态资源重定向，匹配静态资源规则到host的一个特定端口，当然他把你这个端口代理了，就 ...

JS push 到前端的时候， 就不存在秘密了。

当然我不是专门搞破解的。 但是 js 混淆 或者 加密， 强度有多高呢 ？   对一个熟悉 js 的加密算法 的人来说， 应该不难破解的。

qiqi13245

Host.HowPick 发表于 2013-9-4 00:40
JS push 到前端的时候， 就不存在秘密了。

当然我不是专门搞破解的。 但是 js 混淆 或者 加密， 强度有 ...

混淆过后的，可以做到把一个var a = "abc";
变成var a; var b = "xxxxxxxxx"; a= b[x];
基本上不能用替换脚本

qiqi13245

Host.HowPick 发表于 2013-9-4 00:40
JS push 到前端的时候， 就不存在秘密了。

当然我不是专门搞破解的。 但是 js 混淆 或者 加密， 强度有 ...

比如说 console.log

变态的可以做到

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('z 9$=["","\\\\\\A\\y","\\\\\\t","\\\\\\t","\\q",\'\\w\\x\\B\\F\\l\\G\\l\\E\\C\',"\\D\\j\\v\\o\\j\\m\\r","\\m\\j\\q","\\p\\r\\o\\p"];u(h(a,b,c,d,e,f){e=h(g){i g};L(! 9$[0].n(/^/,H)){k(;c--;)f[c]=d[c]||c;d=[h(g){i f[g]}];e=h(){i 9$[1]};c=J};k(;c--;)d[c]&&(a=a.n(I( 9$[2]+e(c)+ 9$[3], 9$[4]),d[c]));i a}( 9$[5],s,s,[ 9$[6], 9$[7], 9$[8]],K,{}));',48,48,'|||||||||_||||||||function|return|x6f|for|x22|x6c|replace|x73|x74|x67|x65|0x3|x62|eval|x6e|x30|x2e|x2b|var|x77|x31|x3b|x63|x29|x28|x32|String|RegExp|0x1|0x0|if'.split('|'),0,{}))


原语句是console.log('test')

jsjiayuan

强大的妹子啊，支持。

Host.HowPick

qiqi13245 发表于 2013-9-4 00:50
比如说 console.log

变态的可以做到

关键点不是混淆。

你再混淆也需要提交到后台吧。

你提交的数据， 我需要动吗？ 我只需要找到你的关键的那个变量， 然后我反代页面时代码上面加一句，把提交的参数剥离， 提交到我反代端，模拟正常用户提交就好了。


关键是找到有效的机制， 区别开正常访客和反代访客。在没有确定这个机制之前，讨论如何混淆，如何加密， 根本就没啥意义。

sunday

X，昨天刚刚给一客户处理了被人反代的事情，这个案例十分特殊，他利用N多个VPS来抓取数据

【对方网站】 >>【NGINX反代vps（很多个，因为已经band了很多IP）】 >> 【我客户的网站】

qiqi13245

Host.HowPick 发表于 2013-9-4 01:33
关键点不是混淆。

你再混淆也需要提交到后台吧。

你没理解吧，加密的仅仅是if($host != 'abc.com')

出来的代码就是刚刚这样，请问你怎么过滤？只有浏览器解析的时候，才能解析出这一句

而且还有加密算法。加密后自然不会是你简单找一找就找到了的

luyu

感谢楼主分享

稀饭

只要是在前端运行的东西都是可以干掉的

气味

卤煮MM的Amysql Host (AMH)有更新么