戟星安全实验室
本文约790字,阅读约需2分钟。
测试疏忽导致手机号遍历
前端JS的秘密
现在前后端分离站点应用的越来越广泛,测试中可能尝试完常规漏洞:弱口令,逻辑漏洞等等可能会忽略前端js文件。
当看到vue框架的时候,大家可以看看js文件
可直接搜索关键字“path:”,”url:” 快速定位
然后再使用vue的路径格式进行拼接 /#/xxx
有工具可以进行快速搜集路径地址
JSFinder: https://github.com/Threezh1/JSFinder
访问方式有些问题,可以自己修改为“/#/xxx”访问
其他端口其他业务
对网站进行目录扫描扫描,看看其他目录有没有其他业务。
往期回顾
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 || 点击下方名片 关注我们 #