主要观点总结
本文介绍了作者在渗透工作中遇到的后台系统,尤其是使用vue开发的前端项目中的规律。作者通过寻找js文件接口参数,在大量项目中挖掘到高危漏洞,如密码重置、敏感接口未授权等。文章从js文件搜集、接口参数寻找方法、实际案例等方面进行了详细论述。
关键观点总结
关键观点1: 背景介绍
作者在渗透工作中遇到后台系统,这些系统大多是自研开发的,没有源代码等常见漏洞。但作者发现使用vue开发的前端项目存在规律,可找到系统中的所有api及其参数。
关键观点2: JS文件搜集
作者提到了两种JS文件搜集方法:第一种是JS文件链接嵌入在script#src标签属性中;第二种是JS文件地址编写在JS代码中。但实际应用系统中不会加载所有JS文件,因此第一种方法难以全面搜集。
关键观点3: 接口参数寻找方法
作者介绍了接口参数在接口附近和离接口较远的情况,并给出了具体案例。在案例中,作者通过搜集JS文件,并在特定文件中找到接口,进而定位到接口参数。
关键观点4: 实际案例
作者通过两个实际案例,详细说明了如何找到API与对应参数信息。涉及不同API接口绑定写法、JS文件循环遍历结构等细节。
关键观点5: 声明和呼吁
作者声明文中技术、思路和工具仅供安全为目的的学习交流使用,并强调任何人不得用于非法用途和盈利目的。同时呼吁网络安全爱好者加入知识星球,分享前沿知识和经验。
免责声明:本文内容摘要由平台算法生成,仅为信息导航参考,不代表原文立场或观点。
原文内容版权归原作者所有,如您为原作者并希望删除该摘要或链接,请通过
【版权申诉通道】联系我们处理。