摘要:2天前刚发布了SpiderX的原始版本,原本以为春节期间不会有人注意个人写的小工具,却意外收到了一些师傅的 star和优化建议。
2天前刚发布了SpiderX的原始版本,原本以为春节期间不会有人注意个人写的小工具,却意外收到了一些师傅的 star和优化建议。
同时还发现X上有不错的浏览量,虽然它某种程度夸大了我的工具功能🤦♂️
作为个人开发者,既惊喜又惶恐——初始版本代码写得实在粗糙,避免被群嘲,连夜给项目进行升级和撰文介绍详细使用。 🧱背景介绍
Spiderx是一款通过爬虫模拟点击来绕过js加密前端的一款检测密码登陆的自动化工具,适用场景为攻防人员自查和测试遇到无法逆向的登陆场景,通过输入对应框的xpath来进行利用(我对此的定义是为JS无法逆向而另辟蹊径的一种解决方法,为不善JS逆向使用者而制作,只需要你会一些简单的调试)。
🫙内容前瞻
本次内容一共五点1.三种监测机制check_login的介绍
2.超出常规的登陆场景和调试问题举例
3.多格式验证码识别介绍
4.新版本优化内容
5.精简版脚本
针对前端复杂加密场景中登录状态检测的痛点,check_login函数为三重动态检测逻辑:
1.登录成功后页面会进行跳转类
通过check_login函数的第一项检测出来
这个类型的登录需要考虑的是driver登录成功后因为需要加载时间,而加载时间本身存在不确定性,需要看网络环境,根据一般情况sleep 0.3~0.5最为适宜,不追求速度,尽可能睡眠久点,反正在后台。成功登录
2.关键词类
3.表单检测登录按钮是否存在
1.我测试的网页错误时会跳转到另一个界面,导致每次错误都无法再输入和查找元素导致显示成功怎么办?答:在check_login函数中添加一个
通过每次检查前先回到输入页面来避免即可,遇到的场景调试都可以在check_login函数中添加
2.我需要访问的包括添加需要二次点击登录的一些页面。答:在process_password函数部分进行添加需要的XPath路径即可
3.这破工具运行后老是报错怎么调试?答:在config配置中将headless配置项改为false,即可前端可视化调整,如果程序闪退大概率是xpath路径输错,尽量在process_password_chunk模块进行异常抛出来查看原因。
1.验证码识别支持SRC路径识别
通过去掉无头模式可以调试看到正确填写我们的用户和密码以及验证码
2.base64数据识别
成功识别写入
内部保证验证码本身ocr识别成功,
分开处理了登录失败中因验证码错误的类型
1.check_login交互性和一些超时的影响更改2.js模拟点击更改为selenium包,消除间接性存在输入失败问题3.Chrome创建失败问题。4.验证码错误问题5.下面的精简版内容
🏵️精简版脚本考虑到很多师傅喜欢纯脚本的方便调试和优化,我提取了核心的函数,去掉了gui的版本将在晚上上传供大家使用.
比起单纯的“求 star”,我更希望收到这些内容:
1. 翻车现场:哪个网站让 SpiderX 彻底崩溃?(请附带 `DEBUG_MODE=True` 的日志)
2. 暴力改造:如果你魔改了代码并跑通了某个难啃的网站,求 PR !(贡献者名单将永久置顶)
3. 需求池:在 Issue 区用一句话描述你最痛的前端加密场景,比如:“如何对抗某里云滑块验证?”
项目地址(小声:如果真的帮到了你,点个 star 让我开心一下也不是不行 😉)
🎬作者留言
作为一个用爱发电的个人项目,SpiderX或许永远达不到商业工具的水平。但如果它能帮你:
- 节省一次熬夜逆向JS的时间
- 绕过某个棘手的前端加密逻辑
- 在渗透测试中多找到一个突破口
这些微小价值,就是开源的意义所在。
来源:小胡科技频道
