Javascript 코드 난독화에 대한 포괄적인 솔루션

Javascript는 해석되어 실행되는 스크립트 언어로, Web 분야에서는 주로 클라이언트 브라우저에서 사용됩니다. Javascript의 해석된 실행 특성상 코드를 일반 텍스트로 클라이언트에 다운로드해야 합니다. , 쉽게 디버깅할 수 있어 Javascript 코드 보호가 매우 어렵습니다.

Javascript 코드 보호에 대해 사람들마다 다른 견해가 있습니다. 일부 사람들이 열심히 노력한 코드는 경쟁업체에서 쉽게 얻을 수 있습니다. Javascript 코드를 보호하는 솔루션이 있기를 바랍니다. 그러나 기존 솔루션은 Javascript 언어가 매우 단순하고 Javascript 코드에 보호 가치가 없다고 생각하는 경우가 많습니다. 정말 간단합니다. 또는 Javascript 언어의 힘을 이해하지 못합니다. 기능; 일부 사람들은 이제 오픈 소스인데 왜 코드를 보호해야 한다고 생각합니까? 물론 오픈 소스 사람들은 존경받을 만합니다. 다른 사람의 코드에 대한 소스 요구 사항이 합리적이지 않습니다.

사용자 경험을 향상시키기 위해 Web 2.0 기술이 등장했습니다. AJAX와 풍부한 인터페이스 기술로 인해 웹 애플리케이션에서 Javascript의 중요성이 더욱 커지고 있습니다. 이상이고 Javascript 코드 보호의 필요성이 점점 더 시급해지고 있습니다.

Javascript Online Obfuscator의 목적은 코딩 규칙 및 무료 온라인 Obfuscator를 포함하여 Javascript 코드 보호 요구 사항에 대한 새롭고 포괄적인 솔루션을 제공하는 것입니다.

난독화와 암호화의 차이점

사실 많은 사람들이 둘을 함께 논의하는데, 그 목적과 채택하는 수단이 다릅니다. 암호화는 주로 무단 사용을 방지하기 위한 것입니다. 이 경우 암호화가 해제되더라도 불법적으로만 사용될 수 있으며 소프트웨어의 코드 로직을 얻을 수는 없지만 스크립트의 경우 코드에 대한 접근을 방지하는 조치가 있습니다. 이 경우 암호화가 해제되면 코드가 획득됩니다. 난독화는 다른 사람이 코드를 획득하는 것을 방지할 수 없는 경우 코드의 논리를 다른 사람이 이해하지 못하도록 보호하기 위해 취하는 조치입니다. 난독화된 코드의 경우 기타 이해하기 어렵고 수정 및 재적용이 불가능합니다.
C언어 등 기계어 코드를 생성하는 언어의 경우에는 무단 접근만 고려하면 되며 거의 필요가 없습니다. 코드 보호를 고려해야 합니다. 왜냐하면 컴파일된 소프트웨어만 어셈블리 언어 코드로 분해될 수 있기 때문에 코드의 논리를 분석하는 것이 거의 불가능하기 때문입니다.
Java, C# 등 중간 코드를 생성하는 언어의 경우, 컴파일된 소프트웨어를 쉽게 상위 언어로 디컴파일하여 코드의 논리를 이해할 수 있으므로 무단 액세스와 코드 보호를 모두 고려해야 합니다. 암호화를 쉽게 해독할 수 있습니다. 난독화 후에는 코드의 논리를 이해하고 암호화 지점을 찾는 것이 어렵습니다.
Javascript와 같은 스크립트 언어의 경우 스크립트가 일반 텍스트로 존재하기 때문에 혼란스럽고 암호화하기 어려울 수 있으며 디버깅이 쉽고 위 두 가지 목적의 암호화는 추적을 통해 쉽게 해독될 수 있습니다. 하지만 난독화된 코드는 코드의 논리를 이해하기 어렵게 만듭니다.

Javascript와 관련된 시스템의 암호화에는 암호화가 아닌 Javascript 스크립트의 난독화만 포함됩니다. 암호화 지점을 Javascript 스크립트에 배치하지 않고 서버측 컴파일러에 배치하는 것이 좋습니다. 컴파일러는 더 많은 보호 방법을 사용할 수 있으며 암호화 강도도 더 높습니다.

먼저 자바스크립트 언어의 특징과 난독화, 기존 난독화 제품의 단점을 분석한 후, 자바스크립트 코드 난독화에 대한 솔루션을 제안하고, 마지막으로 자바스크립트 온라인 난독화 장치를 제안하겠습니다.

자바스크립트 언어와 난독화의 특징

자바스크립트는 컴파일된 언어에 비해 해석되고 실행되는 스크립트 언어이며, 그 중 일부는 코드 난독화에 큰 어려움을 가져올 것입니다.

클래스의 속성 이름과 메서드 이름을 난독화해야 하는지 정의하는 것은 불가능합니다.

자바스크립트는 엄격한 유형 정의가 없는 프로토타입 기반 언어입니다. 사용자 정의 클래스에서는 외부 액세스가 필요한 속성과 메서드를 혼동하면 안 됩니다. 내부 액세스가 필요한 속성과 메서드는 혼동해야 하지만 Javascript 언어 자체에서는 속성과 메서드를 구분할 수 없습니다. 이러한 이유로 속성과 메서드의 이름을 혼동해야 하는지 여부를 식별할 수 있는 유연한 메커니즘을 찾아야 합니다.

혼동할 수 없는 시스템 정의 코어 및 클라이언트측 메소드와 속성이 많이 있습니다.

Javascript 언어 자체는 수많은 핵심 클래스, 메소드 및 속성을 정의합니다. 브라우저는 또한 많은 수의 클라이언트 클래스, 메소드 및 속성을 정의합니다. 그러나 이러한 클래스, 메소드 및 속성의 수가 너무 많아서 열거를 통해 혼란을 피할 수 없습니다. 이러한 클래스, 속성 및 메서드를 식별하는 방법을 찾으세요.

전역 변수를 난독화해야 하는지 여부를 정의할 수 없습니다

전역 변수는 창 개체의 속성이고 지역 변수는 함수 개체의 속성입니다. 모든 지역 변수는 혼동될 수 있고 혼동되어야 하며 일부 전역 변수는 혼동될 수 있지만 전역 변수와 전역 변수는 혼동될 수 없습니다. 지역변수 변수의 표현형식은 동일하여 구별하기 어렵고, 전역변수 자체는 정의할 수 없어 혼동될 필요가 있다. 그렇기 때문에 혼동하지 말아야 할 전역변수와 혼동해야 할 전역변수와 지역변수를 구별할 수 있는 방법을 찾아야 한다.

Javascript 언어의 이러한 특성은 코드 난독화에 큰 어려움을 가져옵니다. 이러한 문제가 해결되지 않으면 Javascript 코드 난독화는 실질적인 가치가 부족하게 됩니다.

기존 Javascript 난독화 제품의 문제점

Javascript 코드를 난독화해야 할 때 먼저 시중에 나와 있는 기존 제품을 검사하고 일부 포럼 아이디어에서 난독화에 대해 논의했지만, 이러한 제품과 아이디어는 우리의 요구 사항을 충족할 수 없습니다.

C# 난독화 도구와 유사한 난독화 방법을 사용하는 상용 Javascript 난독화 제품이 있습니다. 코드의 모든 식별자를 분석하여 시스템에 미리 설정된 일부 식별자는 난독화하지 않지만 다른 식별자는 난독화하지 않습니다. 동시에 사용자에게 식별자 난독화에 대한 선택 및 구성을 제공합니다. 이 제품에는 많은 복잡한 기능이 있지만 큰 문제가 있습니다. 즉, 사전 설정된 식별자가 제한되어 있으며 코드에 사용되는 시스템 수가 많습니다. 정의된 속성과 메서드는 혼동될 수 있으므로 이러한 속성과 메서드에 대한 혼동을 피하기 위해 수동으로 구성해야 합니다. 이는 대규모 시스템에서는 거의 불가능한 작업입니다.

일부 포럼에서는 몇 가지 예를 포함하여 난독화 아이디어에 대해서도 논의했습니다. 이러한 아이디어는 식별자 표현 변경에 관한 것이며 일부 포럼에서는 xx.dd를 xx로 바꾸는 것과 같이 속성을 인코딩된 문자열의 연관 배열로 대체하는 것입니다. ["x64x64"]; 더 복잡한 것은 "x64x64" 등을 문자열 배열에 저장한 다음 문자열 배열을 연관 배열의 첨자로 호출하는 것입니다. 이 아이디어는 위의 문제를 피할 수 있지만 더 많은 문제가 있습니다. 큰 문제는 난독화를 되돌릴 수 있다는 것입니다. 난독화된 식별자는 16진수 형식으로만 변환되며 쉽게 복원할 수 있습니다.

기존 제품의 단점이 우리만의 솔루션을 연구하게 만드는 이유입니다. 우리의 솔루션도 여러 버전을 거쳤는데, 초기 버전은 훨씬 더 복잡하고 많은 작업이 필요했지만, 기존 솔루션을 찾기 위해 여러 번의 수정이 필요했습니다. 결국 거의 모두 폐기되었지만 이전 작업이 없었다면 후속 결과가 없었을 것이므로 우리의 솔루션이 간단하다고 생각할 수도 있지만 이는 과정이 아닌 노력의 결과일 뿐입니다. 간단한 일이 종종 효과적입니다.

Javascript 코드 난독화 종합 솔루션

Javascript 및 관련 난독화 제품의 특성에 대한 이전 분석을 통해 난독화 장치만 작업하면 난독화가 되지 않는다는 것을 깨달았습니다. 충분합니다. Javascript 언어 자체는 난독화 기능에 큰 한계가 있기 때문에 해결할 수 없습니다. 이를 위해 우리는 자바스크립트 온라인 난독처리기 규칙(Javascript online obfuscator rule)이라는 포괄적인 솔루션을 설계했습니다. 자바스크립트 코드가 규칙에 따라 작성되면 자바스크립트 온라인 난독처리기(Javascript online obfuscator)를 사용하여 난독화할 수 있습니다.

Javascript 온라인 난독화기의 규칙은 복잡하지 않지만, Javascript 언어 자체의 특성과 다른 난독화 제품이 직면하는 문제를 해결할 수 있습니다.

규칙 1: 윈도우에 의해 제한된 모든 클래스, 변수, 함수는 혼동되지 않으며, 다른 클래스, 변수, 함수는 혼동되지 않습니다.

전역 클래스, 변수, 함수 자체는 창의 속성입니다. 창 제약 조건을 사용하는지 여부는 논리적 관점에서 동일합니다. 그러나 전역 클래스, 변수 및 함수를 혼동해야 하는지 여부를 구별하기 위해 창의 제약 조건을 빌릴 수 있습니다.

창을 사용하는 제약조건은 클래스, 변수, 함수의 정의뿐만 아니라 클래스, 변수, 함수의 호출까지 일관되어야 합니다.

로컬 클래스, 변수, 함수는 창 제약 조건이 없기 때문에 혼동됩니다.

Rule 2. 소문자로 시작하는 모든 속성과 메서드는 혼동되지 않습니다. 다른 문자로 시작하는 속성과 메서드는 혼동되지 않습니다. 적용하려면 창 제한 속성과 메서드를 사용하세요. 규칙 1.

JavaScript 코어와 클라이언트에는 혼동될 수 없는 시스템 정의 메서드와 속성이 많이 있으며, 이러한 메서드와 속성은 대부분 소문자로 시작합니다. 이 규칙은 시스템 정의 메서드와 속성을 보장합니다. 속성은 난독화되지 않습니다. Javascript 클라이언트에는 대문자로 시작하는 시스템 정의 메서드와 속성이 거의 없습니다. 이 경우 object1["Method1"](); 타사 컨트롤에서 대문자로 시작할 수 있는 메서드 및 속성에도 적용됩니다.

또한 이 규칙을 사용하면 사용자 정의 클래스에서 메서드와 속성이 난독화되었는지 여부를 식별할 수 있습니다. 외부에서 호출해야 하고 난독화할 수 없는 메서드와 속성의 경우 내부 메서드와 속성의 경우 소문자로 시작하세요. 다른 글자로 시작하세요.

더 많은 관련 튜토리얼을 보려면