前言:
小迪安全14集,這集重點
內容:
0、什么是js滲透測試?
? ? ? ? 在javascript中也存在變量和函數,存在可控變量和函數就有可能存在在漏洞,js開發的web應用和php、java開發的區別是,js能看得到的源代碼,php看不到,
? ? ? ? 但是風險就是未授權訪問、配置信息泄露(加密算法、key秘鑰等),源代碼看得到,存在更多的url泄露,從而可能會出現未授權訪問,從url,
前提:web應用可以采用前端語言或后端語言開發
前端語言:javascript(JS)和JS框架
后端語言:php、java、python、.NET
舉例:
zblog:核心功能采用pphp語言去傳輸接受
vue.js:核心功能采用框架語法(JS)傳輸接受
5、如何快速獲取價值信息
src=
path=
method:"get"
http.get("
method:"post"
http.post("
$.ajax
http://service.httppost
http://service.httpget
#前端架構-手工搜索分析
漏洞實戰價值,如何利用
手工
1、利用vue.js,這個app()
? ? ? ? 鷹圖搜索,app.name="Vue.js"
2、打開網站全局搜索,搜索價值信息,
3、一個個看有沒有信息泄露,等一些價值信息
半自動
配合burp,下載hae插件,看那個變紅了,就查看是否有信息泄露的信息
)
)
