渗透攻防之前端JS加密该如何破局

前言渗透测试过程中最常见的一种场景就是登录框，而在登录框上最头疼的就是登录框参数字段的值被进行了加密，我们无法进行下一步的FUZZ OR Intruder，导致很多时候错过很多漏洞。那么碰到这种情况该怎么办呢？破局在参数被进行加密的情况下可以对其进行解密或者来模拟其JS加密方式，这涉及到JS逆向。而在JS逆向中，常常用到的两种方法就是JS扣取和补全JS环境，但是在我们渗透测试的过程中，我们常常采用的方法就是JS扣取，假如需要用到补全JS环境去进行JS逆向，个人感觉性价比就比较低了，因为就算我们花大量的时间去补全了环境能够进行解密，其系统也不一定存在漏洞。所以这里主要介绍一下JS扣取，早期JS扣取我是直接把JS代码扣取出来利用一些脚本语言去模拟他的加密算法，后面我常用的就是一款BP插件，可以简化如上步骤。项目地址 ………………………………