SpiderX-JS前端加密自动化绕过及加密爆破工具|漏洞发现

下载地址:

https://github.com/LiChaser/SpiderX

🎯 核心用途

🔴 红队渗透增强

痛点解决：针对前端传参加密率年增35%的现状（来源：OWASP 2023）

效率提升：自动化绕过JS加密，爆破速度达普通爬虫传统方案N倍(自己评估,怕被喷)

技术门槛：无需JS逆向经验，自动解析加密逻辑

🔵 蓝队自查利器

风险发现：检测弱密码漏洞效率提升6.2倍(AI讲的，but对于JS加密的场景适用性很高)

防御验证：模拟真实攻击路径，验证WAF防护有效性

🚀 部分核心技术架构

🌐 智能并发引擎

采用concurrent.futures线程池，实现10线程并发处理。每个线程独立处理密码子集，通过动态分块算法确保负载偏差<7%

🛡️ 验证码三级识别策略

1.URL直连下载 ▸ 成功率：82% ▸ 适用场景：静态验证码URL

2.Canvas渲染截取 ▸ 补足率：13% ▸ 适用场景：base64图片解析

3.javascript屏幕区域截图（最后5%）。

0x03更新说明

2025-2-10 很多师傅遇到报错，这是正常的，因为本身模拟点击的成功率与网络影响息息相关，不要将这个工具当作常规武器，我初步的定位是内网段一些常见的弱密码容易爆破但因为加密影响得分，想要应用到更多的场景，就是要学会调试，例如闪退那就在检测函数或者填入函数进行sleep睡眠一步步来看，建议使用前先看下面的介绍文章2025-2-6 得到一些师傅的建议，发现drissionpage有更好的自动化性能，目前备考时间比较少，等结束打算重构下项目，感兴趣的师傅start我，随时推送动态2025-1-29 (有师傅觉得gui界面用的不方便，我现在在整理纯脚本的文件并且相关内容我已经用AI注释了方便理解，整理好会上传,师傅们等等)--已上传2025-1-28 我将gui和精简版的源码还有测试靶场已经打包放入release中2025-1-26 初始版上线

0x04 使用介绍

⚠️部署问题

python版本3.13后不行，因为ddddocr包会无法下载1.5.5版本，只要依赖包能正常下载都能运行。

使用前优先确认url是否能访问，如果没出现密码爆破的痕迹说明url无法访问或者异常。

准确性和速度是需要根据电脑的性能来决定，我放在虚拟机里跑线程就开的很低才能正常爆破，属于正常现象，因为爬虫本质需要模拟访问点击需要加载基础网页缓存。

调试可以通过headless参数来设置是否打开，全局搜索去找进行注释掉,看下自动化浏览器有无加载出来