专栏名称: 白帽子左一
零基础也能学渗透!关注我,跟我一启开启渗透测试工程师成长计划.专注分享网络安全知识技能.
TodayRss-海外RSS稳定源
目录
今天看啥  ›  专栏  ›  白帽子左一

基于Vue开发的前端系统中寻找后端API及其参数

白帽子左一  · 公众号  ·  · 2024-07-24 12:00
    

主要观点总结

本文介绍了作者在渗透工作中遇到的后台系统,尤其是使用vue开发的前端项目中的规律。作者通过寻找js文件接口参数,在大量项目中挖掘到高危漏洞,如密码重置、敏感接口未授权等。文章从js文件搜集、接口参数寻找方法、实际案例等方面进行了详细论述。

关键观点总结

关键观点1: 背景介绍

作者在渗透工作中遇到后台系统,这些系统大多是自研开发的,没有源代码等常见漏洞。但作者发现使用vue开发的前端项目存在规律,可找到系统中的所有api及其参数。

关键观点2: JS文件搜集

作者提到了两种JS文件搜集方法:第一种是JS文件链接嵌入在script#src标签属性中;第二种是JS文件地址编写在JS代码中。但实际应用系统中不会加载所有JS文件,因此第一种方法难以全面搜集。

关键观点3: 接口参数寻找方法

作者介绍了接口参数在接口附近和离接口较远的情况,并给出了具体案例。在案例中,作者通过搜集JS文件,并在特定文件中找到接口,进而定位到接口参数。

关键观点4: 实际案例

作者通过两个实际案例,详细说明了如何找到API与对应参数信息。涉及不同API接口绑定写法、JS文件循环遍历结构等细节。

关键观点5: 声明和呼吁

作者声明文中技术、思路和工具仅供安全为目的的学习交流使用,并强调任何人不得用于非法用途和盈利目的。同时呼吁网络安全爱好者加入知识星球,分享前沿知识和经验。


免责声明:本文内容摘要由平台算法生成,仅为信息导航参考,不代表原文立场或观点。 原文内容版权归原作者所有,如您为原作者并希望删除该摘要或链接,请通过 【版权申诉通道】联系我们处理。

原文地址: 访问原文地址 (快捷配置)
总结与预览地址:访问文章预览/总结
文章地址: 访问文章快照