一、技术背景与需求分析

1.1 报销系统安全机制

现代企业报销系统普遍采用前端加密技术，将发票关键信息（如金额、税号、开票日期）通过JavaScript动态加密后传输。这种设计有效防止了普通爬虫直接获取明文数据，但也催生了逆向工程的技术需求。典型安全措施包括：

• 动态Token生成（基于时间戳+随机数）
• AES/RSA混合加密算法
• 请求参数指纹校验
• 行为检测（鼠标轨迹、点击频率）

1.2 逆向工程价值

通过JS逆向技术可实现：

• 自动化发票数据归档
• 报销流程监控
• 异常发票检测
• 财务数据分析
  相较于传统OCR识别，逆向方案直接获取结构化数据，准确率接近100%。

二、核心逆向技术实现

2.1 动态环境搭建

使用Chrome DevTools进行实时调试：

// 开启XHR断点
Debugger.setBreakpoint({
  type: 'xhr',
  urlPattern: '*api/invoice*'
});

配合Charles/Fiddler进行请求拦截，构建本地代理服务器：

from mitmproxy import http
class InvoiceInterceptor:
    def request(self, flow: http.HTTPFlow):
        if 'invoice/detail' in flow.request.url:
            # 修改加密参数
            flow.request.headers['X-Token'] = 'reversed_token'
addons = [InvoiceInterceptor()]

2.2 加密参数破解

2.2.1 参数定位技巧

通过AST分析定位加密函数：

// 典型加密函数特征
function encryptData(data) {
    const key = CryptoJS.enc.Utf8.parse('256bit-secret-key');
    const iv = CryptoJS.enc.Utf8.parse('initialization');
    return CryptoJS.AES.encrypt(JSON.stringify(data), key, { iv }).toString();
}

使用ESPrima解析JS代码，提取加密逻辑。

2.2.2 算法还原方案

针对RSA加密，需提取公钥模数和指数：

// 从JS中提取的RSA参数
const publicKey = {
    n: '00a1b2c3...', // 模数
    e: '010001'     // 指数
};

通过jsbn库实现本地解密：

const RSA = require('jsbn').RSA;
const BigInteger = require('jsbn').BigInteger;
function decryptRSA(ciphertext) {
    const rsa = new RSA();
    rsa.setPublic(new BigInteger(publicKey.n, 16), new BigInteger(publicKey.e, 16));
    return rsa.decrypt(ciphertext);
}

2.3 反爬机制应对

2.3.1 动态Token处理

构建Token生成器：

function generateToken() {
    const timestamp = Date.now();
    const nonce = Math.random().toString(36).substr(2);
    return CryptoJS.HmacSHA256(timestamp + nonce, 'app-secret').toString();
}

2.3.2 行为模拟技术

使用Puppeteer模拟真实操作：

const puppeteer = require('puppeteer');
(async () => {
    const browser = await puppeteer.launch();
    const page = await browser.newPage();
    // 模拟人类操作延迟
    await page.goto('https://erp.example.com');
    await page.waitForSelector('#invoice-search');
    await page.type('#invoice-search', '202301');
    await page.keyboard.press('Enter');
    // 获取加密后的数据
    const encryptedData = await page.evaluate(() => {
        return window.encryptedInvoiceData;
    });
    await browser.close();
})();

三、完整实现案例

3.1 目标系统分析

以某企业ERP系统为例，其发票查询接口特点：

• 请求URL：/api/invoice/query
• 加密参数：encData（AES加密）
• 验证参数：sign（HMAC-SHA256）
• 时间窗口：±30秒有效

3.2 逆向破解流程

1. 参数定位：通过Debugger定位加密函数window.encryptRequest
2. 算法提取：发现使用AES-CBC模式，密钥硬编码在JS中
3. 本地复现：
   ```javascript
   const CryptoJS = require(‘crypto-js’);

function decryptInvoice(encData) {
const key = CryptoJS.enc.Hex.parse(‘6a7b8c9d0e1f2a3b’);
const iv = CryptoJS.enc.Hex.parse(‘0001020304050607’);
const bytes = CryptoJS.AES.decrypt(encData, key, { iv });
return JSON.parse(bytes.toString(CryptoJS.enc.Utf8));
}

4. **自动化脚本**：
```python
import requests
import execjs
# 加载JS环境
with open('decryptor.js', 'r') as f:
    js_code = f.read()
ctx = execjs.compile(js_code)
# 获取加密数据
response = requests.get('https://erp.example.com/api/invoice/list')
enc_data = response.json()['data']
# 解密处理
decrypted = ctx.call('decryptInvoice', enc_data)
print(decrypted)

四、法律与伦理考量

4.1 合规性边界

根据《网络安全法》第二十七条，需严格遵守：

• 仅用于授权范围内的数据获取
• 禁止传播破解工具
• 不得影响系统正常运行

4.2 风险规避建议

1. 获得企业书面授权
2. 限制爬取频率（建议QPS<1）
3. 数据存储加密
4. 定期安全审计

五、优化与扩展方向

5.1 性能优化

• 使用WebAssembly加速加密计算
• 实现增量爬取机制
• 构建分布式爬取集群

5.2 功能扩展

• 发票真伪验证接口对接
• 自动生成报销单
• 异常发票预警系统

5.3 防御对抗升级

当目标系统更新加密方案时，可采用：

1. 动态JS加载分析
2. 差分调试定位变更点
3. 机器学习辅助参数预测

六、总结与展望

JS逆向技术在报销发票获取场景中展现出独特价值，但开发者需在技术创新与合规运营间取得平衡。未来随着WebAssembly和SMA的普及，逆向工程将面临更高挑战，建议持续关注：

• 浏览器自动化框架演进
• 新型加密算法破解
• 反爬与反反爬技术对抗

通过系统化的逆向工程方法论，可构建稳定、高效的发票数据获取管道，为企业财务数字化提供有力支撑。