当前位置: 首页 > news >正文

BurpSuite插件jsEncrypter使用教程

news 2026/3/30 6:18:52

一、前言

在当今Web应用安全测试中,前端加密已成为开发者保护敏感数据的常用手段。然而,这也给安全测试人员带来了挑战,传统的抓包方式难以获取明文数据,测试效率大打折扣。BurpSuite作为一款强大的Web安全测试工具,其插件生态丰富,而jsEncrypter正是针对前端加密难题而生的利器。它能够模拟浏览器执行JavaScript代码,轻松破解前端加密算法,将加密数据还原为明文,为安全测试扫清障碍。

二、安装环境

1、安装无头浏览器PhantomJS
下载地址:https://phantomjs.org/download.html

解压到任意目录,然后配置环境变量
在这里插入图片描述
在这里插入图片描述
安装成功
在这里插入图片描述

2、安装maven
下载地址:http://apache.oregonstate.edu/maven/maven-3/3.9.9/binaries/

解压到任意目录,然后配置环境变量
在这里插入图片描述在这里插入图片描述
安装成功
在这里插入图片描述

3、编译jsEncrypter插件
下载地址:https://github.com/c0ny1/jsEncrypter

利用maven编译成jar包:mvn clean package -DskipTests
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4、安装jsEncrypter插件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5、安装前端加密靶场

将jsEncrypter-master\test\webapp目录复制到phpstudy网站根目录
在这里插入图片描述
靶场环境部署成功
在这里插入图片描述

三、jsEncrypter插件使用

1、输入账号密码,选择RSA加密,抓包,密码字段显示密文;
在这里插入图片描述
2、复制网站中加密文件到jsEncrypter-master\script目录下
在这里插入图片描述
在这里插入图片描述
3、网站全局搜索加密函数,一般为encrypt,并且得知只有密码password字段加密;
在这里插入图片描述
点击进入得到加密函数;
在这里插入图片描述

var encrypt = new JSEncrypt();
encrypt.setPublicKey($("input[name=public_key]").val());
en_password = encrypt.encrypt(password);

4、通过加密函数发现需要公钥public_key字段,全局搜索public_key;
在这里插入图片描述

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0Llg1bVZhnyslfezwfeOkvnXWq59bDtmQyHvxkP/38Fw8QQXBfROCgzGc+Te6pOPl6Ye+vQ1rAnisBaP3rMk40i3OpallzVkuwRKydek3V9ufPpZEEH4eBgInMSDiMsggTWxcI/Lvag6eHjkSc67RTrj96oxj0ipVRqjxW4X6HQIDAQAB

5、打开jsEncrypter-master\script\phantomjs_server.js文件,修改第14行下面引入加密文件和第34行下面的加密函数部分;
在这里插入图片描述
在这里插入图片描述

function jsEncrypt(burp_payload){var new_payload;/* 2.在这里编写调用加密函数进行加密的代码,并把结果赋值给new_payload *//*********************************************************/var encrypt = new JSEncrypt();var public_key = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0Llg1bVZhnyslfezwfeOkvnXWq59bDtmQyHvxkP/38Fw8QQXBfROCgzGc+Te6pOPl6Ye+vQ1rAnisBaP3rMk40i3OpallzVkuwRKydek3V9ufPpZEEH4eBgInMSDiMsggTWxcI/Lvag6eHjkSc67RTrj96oxj0ipVRqjxW4X6HQIDAQAB";encrypt.setPublicKey(public_key);new_payload = encrypt.encrypt(burp_payload);return new_payload;
}

在这里插入图片描述
6、进入到jsEncrypter-master\script目录,执行phantomjs phantomjs_server.js;
在这里插入图片描述
插件测试成功
在这里插入图片描述
7、通过攻击模块调用jsEncrypt插件进行测试;
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

相关文章:

BurpSuite插件jsEncrypter使用教程

一、前言 在当今Web应用安全测试中,前端加密已成为开发者保护敏感数据的常用手段。然而,这也给安全测试人员带来了挑战,传统的抓包方式难以获取明文数据,测试效率大打折扣。BurpSuite作为一款强大的Web安全测试工具,其…...

编程日记 2025/3/11 11:55:12

【C#实现手写Ollama服务交互,实现本地模型对话】

前言 C#手写Ollama服务交互,实现本地模型对话 最近使用C#调用OllamaSharpe库实现Ollama本地对话,然后思考着能否自己实现这个功能。经过一番查找,和查看OllamaSharpe源码发现确实可以。其实就是开启Ollama服务后,发送HTTP请求&a…...

编程日记 2025/3/11 11:52:08

Android Glide 框架线程管理模块原理的源码级别深入分析

一、引言 在现代的 Android 应用开发中,图片加载是一个常见且重要的功能。Glide 作为一款广泛使用的图片加载框架,以其高效、灵活和易用的特点受到了开发者的青睐。其中,线程管理模块是 Glide 框架中至关重要的一部分,它负责协调…...

编程日记 2025/3/11 11:47:02

每天记录一道Java面试题---day32

MySQL索引的数据结构、各自优劣 回答重点 B树:是一个平衡的多叉树,从根节点到每个叶子节点的高度差不超过1,而且同层级的节点间有指针相互连接。在B树上的常规检索,从根节点到叶子节点的搜索效率基本相当,不会出现大…...

编程日记 2025/3/11 11:41:54

Vue3 Pinia 符合直觉的Vue.js状态管理库

Pinia 符合直觉的Vue.js状态管理库 什么时候使用Pinia 当两个关系非常远的组件,要传递参数时使用Pinia组件的公共参数使用Pinia...

编程日记 2025/3/11 11:40:52

深度学习与大模型基础-向量

大家好!今天我们来聊聊向量(Vector)。别被这个词吓到,其实向量在我们的生活中无处不在,只是我们没注意罢了。 1. 向量是什么? 简单来说,向量就是有大小和方向的量。比如你从家走到学校&#x…...

编程日记 2025/3/11 11:37:47

【网络编程】完成端口 IOCP

10.11 完成端口 10.11.1 基本概念 完成端口的全称是I/O 完成端口,英文为IOCP(I/O Completion Port) 。IOCP是一个异 步I/O 的 API, 可以高效地将I/O 事件通知给应用程序。与使用select() 或是其他异步方法不同 的是,一个套接字与一个完成端口关联了起来…...

编程日记 2025/3/11 11:35:44

《苍穹外卖》SpringBoot后端开发项目重点知识整理(DAY1 to DAY3)

目录 一、在本地部署并启动Nginx服务1. 解压Nginx压缩包2. 启动Nginx服务3. 验证Nginx是否启动成功: 二、导入接口文档1. 黑马程序员提供的YApi平台2. YApi Pro平台3. 推荐工具:Apifox 三、Swagger1. 常用注解1.1 Api与ApiModel1.2 ApiModelProperty与Ap…...

编程日记 2025/3/11 11:34:42

管理网络安全

防火墙在 Linux 系统安全中有哪些重要的作用? 防火墙作为网络安全的第一道防线,能够根据预设的规则,对进出系统的网络流量进行严格筛选。它可以阻止未经授权的外部访问,只允许符合规则的流量进入系统,从而保护系统免受…...

编程日记 2025/3/11 11:31:38

明日直播|Go IoT 开发平台,开启万物智联新征程

在物联网技术飞速发展的当下,物联网行业却深受协议碎片化、生态封闭、开发低效等难题的困扰。企业和开发者们渴望找到一个能突破这些困境,实现高效、便捷开发的有力工具。 3 月 11 日(星期二)19:00,GitCode 特别邀请独…...

编程日记 2025/3/11 11:29:34

系统架构设计师—系统架构设计篇—软件架构风格

文章目录 概述经典体系结构风格数据流风格批处理管道过滤器对比 调用/返回风格主程序/子程序面向对象架构风格层次架构风格 独立构件风格进程通信事件驱动的系统 虚拟机风格解释器基于规则的系统 仓库风格(数据共享风格)数据库系统黑板系统超文本系统 闭…...

编程日记 2025/3/11 11:23:26

【MySQL_04】数据库基本操作(用户管理--配置文件--远程连接--数据库信息查看、创建、删除)

文章目录 一、MySQL 用户管理1.1 用户管理1.11 mysql.user表详解1.12 添加用户1.13 修改用户权限1.14 删除用户1.15 密码问题 二、MySQL 配置文件2.1 配置文件位置2.2 配置文件结构2.3 常用配置参数 三、MySQL远程连接四、数据库的查看、创建、删除4.1 查看数据库4.2 创建、删除…...

编程日记 2025/3/11 11:19:19

【Zinx】Day5-Part4:Zinx 的连接属性设置

目录 Day5-Part4:Zinx 的连接属性设置给连接添加连接配置的接口连接属性方法的实现 测试 Zinx-v1.0总结 Day5-Part4:Zinx 的连接属性设置 在 Zinx 当中,我们使用 Server 来开启服务并监听指定的端口,当接收到来自客户端的连接请求…...

编程日记 2025/3/11 11:18:18

【英伟达AI论文】多模态大型语言模型的高效长视频理解

摘要:近年来,基于视频的多模态大型语言模型(Video-LLMs)通过将视频处理为图像帧序列,显著提升了视频理解能力。然而,许多现有方法在视觉主干网络中独立处理各帧,缺乏显式的时序建模,…...

编程日记 2025/3/11 11:17:17

小程序事件系统 —— 32 事件系统 - 事件分类以及阻止事件冒泡

在微信小程序中,事件分为 冒泡事件 和 非冒泡事件 : 冒泡事件:当一个组件的事件被触发后,该事件会向父节点传递;(如果父节点中也绑定了一个事件,父节点事件也会被触发,也就是说子组…...

编程日记 2025/3/11 11:15:13

全球首款 5G-A 人形机器人发布

全球首款 5G-A 人形机器人于世界移动通信大会(MWC2025)上由中国移动、华为、乐聚联合发布。以下是关于这款机器人的详细介绍: 名称与背景 名称9:这款人形机器人名为 “夸父”,是中国移动、华为与乐聚机器人在 GTI 平台…...

编程日记 2025/3/11 11:13:11

Tomcat 新手入门指南

Tomcat 新手入门指南 Apache Tomcat 是一个开源的 Java Servlet 容器和 Web 服务器,广泛用于部署和运行 Java Web 应用程序。以下是 Tomcat 的入门指南,帮助你快速上手。 1. 安装 Tomcat 步骤 1: 下载 Tomcat 访问 Apache Tomcat 官网。选择适合的版…...

编程日记 2025/3/11 11:12:09

Flink-DataStreamAPI-生成水印

下面我们将学习Flink提供的用于处理事件时间戳和水印的API,也会介绍有关事件时间、流转时长和摄取时间,下面就让我们跟着官网来学习吧 一、水印策略介绍 为了处理事件时间,Flink需要知道事件时间戳,这意味着流中的每个元素都需要…...

编程日记 2025/3/11 11:11:07

【单片机】ARM 处理器简介

ARM 公司简介 ARM(Advanced RISC Machine) 是英国 ARM 公司(原 Acorn RISC Machine) 开发的一种精简指令集(RISC) 处理器架构。ARM 处理器因其低功耗、高性能、广泛适用性,成为嵌入式系统、移动…...

编程日记 2025/3/11 11:10:06

Flutter——最详细原生交互(MethodChannel、EventChannel、BasicMessageChannel)使用教程

MethodChannel(方法通道) 用途:实现 双向通信,用于调用原生平台提供的 API 并获取返回结果。 场景:适合一次性操作,如调用相机、获取设备信息等。 使用步骤: Flutter 端:通过 Meth…...

编程日记 2025/3/11 11:06:00

ComfyUI-VideoHelperSuite:AI视频工作流的全栈解决方案

ComfyUI-VideoHelperSuite:AI视频工作流的全栈解决方案 【免费下载链接】ComfyUI-VideoHelperSuite Nodes related to video workflows 项目地址: https://gitcode.com/gh_mirrors/co/ComfyUI-VideoHelperSuite 1. 核心价值解析:图像序列到视频的…...

编程新知 2026/3/30 5:36:23

PS软件插件开发思维:为视频编辑流程注入AI字幕能力

PS软件插件开发思维:为视频编辑流程注入AI字幕能力 不知道你有没有过这样的经历:辛辛苦苦剪完一个视频,到了加字幕这一步,整个人都蔫了。要么是手动敲字敲到手抽筋,要么是自动生成的字幕时间轴对不上,还得…...

编程新知 2026/3/30 5:32:23

Double Q-learning实战:如何用Python解决过估计问题(附代码示例)

Double Q-learning实战:如何用Python解决过估计问题(附代码示例) 强化学习中的Q-learning算法因其简洁高效而广受欢迎,但在某些场景下会出现严重的过估计问题。本文将深入探讨这一现象的本质,并手把手教你用Python实现…...

编程新知 2026/3/30 5:02:03

Gauge常见问题解决:10个典型错误及修复方法

Gauge常见问题解决:10个典型错误及修复方法 【免费下载链接】gauge Light weight cross-platform test automation 项目地址: https://gitcode.com/gh_mirrors/ga/gauge Gauge作为一款轻量级跨平台测试自动化工具,在使用过程中可能会遇到各种错误…...

编程新知 2026/3/30 3:45:10

企业级前端基建:如何将离线npm包(tgz)安全迁移到Nexus 3私库?

企业级前端基建:如何将离线npm包(tgz)安全迁移到Nexus 3私库? 当企业面临安全合规审计或网络隔离需求时,如何将分散在各处的npm离线包(tgz格式)安全、高效地迁移至Nexus私有仓库,成为…...

编程新知 2026/3/30 3:43:06

隐式建模的革新:GemPy如何重新定义三维地质结构可视化

隐式建模的革新:GemPy如何重新定义三维地质结构可视化 【免费下载链接】gempy GemPy is an open-source, Python-based 3-D structural geological modeling software, which allows the implicit (i.e. automatic) creation of complex geological models from int…...

编程新知 2026/3/30 3:02:41

Windows系统信息导出全攻略:从msinfo32生成报告到用PowerShell定制你的专属硬件清单

Windows系统信息自动化采集与定制化报告实战指南 对于IT资产管理专员和技术团队而言,准确获取终端设备的硬件配置信息是软件许可合规、资产盘点和故障排查的基础工作。传统的手动记录方式效率低下且容易出错,而Windows内置的msinfo32工具生成的报告又过于…...

编程新知 2026/3/30 2:08:28

AD5660 16位DAC驱动库深度解析:嵌入式SPI接口实践

1. AD5660 数字模拟转换器库深度解析:面向嵌入式工程师的16位高精度DAC驱动实践1.1 器件本质与工程定位AD5660 是 Analog Devices 推出的单通道、16位电压输出型数模转换器(DAC),采用紧凑的 8 引脚 MSOP 封装,专为对精…...

编程新知 2026/3/30 2:06:27

避坑指南:用conda一键搞定gymnasium[box2d]安装(附常见错误解决方案)

Conda环境下的gymnasium[box2d]高效安装与疑难排解全攻略 强化学习实践者常会遇到一个令人头疼的问题:在Windows系统上安装gymnasium[box2d]时,总是遭遇各种编译错误和依赖问题。本文将带你彻底解决这个痛点,通过conda环境管理工具&#xff0…...

编程新知 2026/3/30 2:04:27

腾讯音乐开源的SuperSonic到底强在哪?手把手教你配置专属数据分析Agent

腾讯音乐SuperSonic深度解析:如何打造智能数据问答Agent 当企业数据量呈指数级增长时,传统BI工具已经难以满足实时决策的需求。腾讯音乐开源的SuperSonic作为新一代AIBI平台,通过融合Chat BI与Headless BI两大范式,正在重新定义数…...

编程新知 2026/3/30 1:54:22