转自 http://gv7.me/articles/2018/fast-locate-the-front-end-encryption-method/
相信用过我jsEncrypter这个插件的朋友,都会碰到一个问题。 那就是一些大型网站前端太复杂,以至于无法定位到前端数据加密函数所在的位置。无法定位到加密方法所在,自然就无法编写jsEncrypter的phantomJS脚本了。k哥在今晚给了我很多灵感,让我对这个问题有一个完美的解决方案。以至于现在已是12号的凌晨3点,我仍不舍得搁浅内心零散的想法。窗外稍许的车辆略过的轰鸣,在夜深人静时显得格外刺耳。不过还好,没破坏我静静码字感觉。下面让我慢慢将这简单弱智有点零散,但细细思考,却有点意思的想法,串成一个流程。
总结,持续更新
渗透千万条,安全第一条。渗透不授权,亲人泪两行!
白帽子要有自己的原则和底线,即使数据再诱人,也千万不要去拿任何数据!
是要在客户允许的范围内进行测试,白帽子需要有白帽子的底线!
渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。
但是注意任何没有明确授意 授权的渗透测试都可能存在法律风险,授权最好是纸质文档形式,有你授权人的姓名身份证号甲方盖章和单位名称等。
渗透测试不同于入侵,入侵是不择手段的,甚至是居右破坏性的拿到系统权限
安全是一个不断的持续的过程,每个环节都不可缺少,在安全的路上懂的越多发现自己不懂的越多。
我在某做WL的公司负责公司整体安全,保护公司业务系统的安全(这个系统会有大部分看官的个人信息)。公司业务发展很快,但是信息化基础建设很落后,管理不规范,人员技术水平参差不齐,对网络和安全没有认识。领导对安全概念模糊,无法落实;因为是新来的,领导对提出的解决方案有选择的进行,但是有个好的地方就是公司发展太快,出现过不少安全问题,给我们安全部带来了外部推动力(虽然不想出事,但是出事了可以加快安全建设的脚步)。
一年的时间从什么都没到现在的逐渐成型、各种安全流程的建立和落地,建了ISO27001安全体系(通过了认证),此篇文章进行了一个总结,期间也碰到了的很多坑和挫折,自己也在这个过程中学习了成长了,这里再次感谢帮助过我的朋友们,感谢安全部另外一位X大牛。
