在信息安全领域,可信系统(Trusted system)是一个让人心动的目标,它指的是一个通过实施特定的安全策略而达到一定可信程度的系统。

发布时间:2026/7/1 22:43:50
在信息安全领域,可信系统(Trusted system)是一个让人心动的目标,它指的是一个通过实施特定的安全策略而达到一定可信程度的系统。 在计算机中可信平台模块Trusted Platform ModuleTPM已经投入使用它符合可信赖计算组织Trusted Computing GroupTCG制定的TPM规范是为了实现可信系统目标的而打造的一款安全芯片。作为可信系统的信任根TPM是可信计算的核心模块为计算机安全提供了强有力的保障。而在我们的web系统中想打造一个可信系统似乎是个伪命题“永远不要相信客户端的输入”是基本的安全准则。实际上在可信系统中的可信也并不是说真的是绝对安全维基上对其的解释为“可信的”Trusted未必意味着对用户而言是“值得信赖的”Trustworthy。确切而言它意味着可以充分相信其行为会更全面地遵循设计而执行设计者和软件编写者所禁止的行为的概率很低。从这个角度讲我们把其当做一个美好的愿景我们希望能够构造一个web系统中的TPM可以把恶意行为控制在一定的概率之内从而实现一个相对可信的web系统。0x01 可信前端在可信系统中TPM的一个重要作用就是鉴别消息来源的真实性保障终端的可信。在web系统中我们的消息来源就是用户。随着撞库、恶意注册、薅羊毛等产业的蓬勃发展在越来越多的场景我们需要鉴别请求数据是否来自真实的用户保护真实用户的数据安全。所以想要构造一个web系统中的TPM首要问题就是需要保证输入数据安全打造一个相对可信的前端环境。但是由于web的开放特性前端作为数据采集的最前线js代码始终暴露在外在这种情况下防止恶意伪造请求变得非常困难可信前端也就成了无稽之谈。在反复对抗中代码保护也就是通常意义上的js代码混淆的重要性逐渐彰显出来。今天我就想和大家聊一聊js混淆的问题。1、为什么需要js混淆显而易见是为了保护我们的前端代码逻辑。在web系统发展早期js在web系统中承担的职责并不多只是简单的提交表单js文件非常简单也不需要任何的保护。随着js文件体积的增大为了缩小js体积加快http传输速度开始出现了很多对js的压缩工具比如 uglify、compressor、clouser。。。它们的工作主要是·合并多个js文件·去除js代码里面的空格和换行·压缩js里面的变量名·剔除掉注释【压缩后的代码】虽然压缩工具出发点都是为了减少js文件的体积但是人们发现压缩替换后的代码已经比源代码可读性差了很多间接起到了代码保护的作用于是压缩js文件成为了前端发布的标配之一。但是后来市面上主流浏览器chrome、Firefox等都提供了js格式化的功能能够很快的把压缩后的js美化再加上现代浏览器强大的debug功能单纯压缩过的js代码对于真正怀有恶意的人已经不能起到很好的防御工作出现了防君子不防小人的尴尬局面。【chrome开发者工具格式化之后的代码】而在web应用越来越丰富的今天伴随着浏览器性能和网速的提高js承载了更多的工作不少后端逻辑都在向前端转移与此同时也让更多的不法分子有机可乘。在web模型中js往往是不法分子的第一个突破口。知晓了前端逻辑不法分子可以模拟成一个正常的用户来实施自己的恶意行为。所以在很多登录、注册、支付、交易等等页面中关键业务和风控系统依赖的js都不希望被人轻易的破解js混淆应运而生。2、js混淆是不是纸老虎这是一个老生常谈的问题。实际上代码混淆早就不是一个新鲜的名词在桌面软件时代大多数的软件都会进行代码混淆、加壳等手段来保护自己的代码。Java和.NET都有对应的混淆器。黑客们对这个当然也不陌生许多病毒程序为了反查杀也会进行高度的混淆。只不过由于js是动态脚本语言在http中传输的就是源代码逆向起来要比打包编译后的软件简单很多很多人因此觉得混淆是多此一举。【.NET混淆器dotFuscator】其实正是因为js传输的就是源代码我们才需要进行混淆暴露在外的代码没有绝对的安全但是在对抗中精心设计的混淆代码能够给破坏者带来不小的麻烦也能够为防守者争取更多的时间相对于破解来说混淆器规则的更替成本要小得多在高强度的攻防中可以大大增加破解者的工作量起到防御作用。从这个角度来讲关键代码进行混淆是必不可少的步骤。3、如何进行js混淆js混淆器大致有两种:·通过正则替换实现的混淆器·通过语法树替换实现的混淆器第一种实现成本低但是效果也一般适合对混淆要求不高的场景。第二种实现成本较高但是更灵活而且更安全更适合对抗场景我这里主要讲一下第二种。基于语法层面的混淆器其实类似于编译器基本原理和编译器类似我们先对编译器做一些基本的介绍。名词解释token: 词法单元也有叫词法记号的词法分析器的产物文本流被分割后的最小单位。AST: 抽象语法树语法分析器的产物是源代码的抽象语法结构的树状表现形式。【编译器VS混淆器】编译器工作流程简单的说当我们读入一段字符串文本source code词法分析器会把它拆成一个一个小的单位token比如数字1 是一个token, 字符串abc是一个token等等。接下来语法分析器会把这些单位组成一颗树状结构AST这个树状结构就代表了token们的组成关系。比如 1 2 就会展示成一棵加法树左右子节点分别是token - 1 和token - 2 中间token表示加法。编译器根据生成的AST转换到中间代码最终转换成机器代码。对编译器更多细节感兴趣的同学可以移步龙书编译原理混淆器工作流程编译器需要把源代码编译成中间代码或者机器码而我们的混淆器输出其实还是js。所以我们从语法分析之后往下的步骤并不需要。想想我们的目标是什么是修改原有的js代码结构在这里面这个结构对应的是什么呢就是AST。任何一段正确的js代码一定可以组成一颗AST同样因为AST表示了各个token的逻辑关系我们也可以通过AST反过来生成一段js代码。所以你只需要构造出一颗AST就能生成任何js代码混淆过程如上右图所示。通过修改AST生成一个新的AST新的AST就可以对应新的JavaScript代码。规则设计知道了大致的混淆流程最重要的环节就是设计规则。我们上面说了我们需要生成新的AST结构意味着会生成和源代码不一样的js代码但是我们的混淆是不能破坏原有代码的执行结果的所以混淆规则必须保证是在不破坏代码执行结果的情况下让代码变得更难以阅读。具体的混淆规则各位可以自行根据需求设计比如拆分字符串、拆分数组增加废代码等等。参考提供商业混淆服务的jscramble的混淆规则实现很多人看到这里就望而却步因为词法分析和文法分析对编译原理要求较高。其实这些现在都有工具可以帮助搞定了借助工具我们可以直接进行最后一步对AST的修改。市面上JavaScript词法和文法分析器有很多比如其实v8就是一个还有mozilla的SpiderMonkey, 知名的esprima等等我这里要推荐的是uglify一个基于nodejs的解析器。它具有以下功能·parser把 JavaScript 代码解析成抽象语法树·code generator通过抽象语法树生成代码·scope analyzer分析变量定义的工具·tree walker遍历树节点·tree transformer改变树节点对比下我上面给出的混淆器设计的图发现其实只需要修改语法树 这一步自己完成。实例说了这么多可能很多人还是一头雾水为了帮助各位理解我准备了一个简单的例子假设我们的混淆规则是想把 var a 1; 中的数字1换成16进制我们该如何设计混淆器呢。首先对源代码做词法分析和语法分析uglify一个方法就搞定了生成一颗语法树我们需要做的就是找到语法树中的数字然后修改成16进制的结果如下图所示实例代码var UglifyJS require(uglify-js); var code var a 1;; var toplevel UglifyJS.parse(code); //toplevel就是语法树 var transformer new UglifyJS.TreeTransformer(function (node) { if (node instanceof UglifyJS.AST_Number) { //查找需要修改的叶子节点 node.value 0x Number(node.value).toString(16); return node; //返回一个新的叶子节点 替换原来的叶子节点 }; }); toplevel.transform(transformer); //遍历AST树 var ncode toplevel.print_to_string(); //从AST还原成字符串 console.log(ncode); // var a 0x1;上面的代码很简单首先通过parse方法构建语法树然后通过TreeTransformer遍历语法树当遇到节点属于UglifyJS.AST_Number类型所有的AST类型见ast,这个token具有一个属性 value 保存着数字类型的具体值我们将其改成16进制表示然后 return node 就会用新的节点代替原来的节点。