网络安全第14集
前言:
小迪安全14集,这集重点
内容:
0、什么是js渗透测试?
在javascript中也存在变量和函数,存在可控变量和函数就有可能存在在漏洞,js开发的web应用和php、java开发的区别是,js能看得到的源代码,php看不到,
但是风险就是未授权访问、配置信息泄露(加密算法、key秘钥等),源代码看得到,存在更多的url泄露,从而可能会出现未授权访问,从url,
前提:web应用可以采用前端语言或后端语言开发
前端语言:javascript(JS)和JS框架
后端语言:php、java、python、.NET
举例:
zblog:核心功能采用pphp语言去传输接受
vue.js:核心功能采用框架语法(JS)传输接受
5、如何快速获取价值信息
src=
path=
method:"get"
http.get("
method:"post"
http.post("
$.ajax
http://service.httppost
http://service.httpget
#前端架构-手工搜索分析
漏洞实战价值,如何利用
手工
1、利用vue.js,这个app()
鹰图搜索,app.name="Vue.js"
2、打开网站全局搜索,搜索价值信息,
3、一个个看有没有信息泄露,等一些价值信息
半自动
配合burp,下载hae插件,看那个变红了,就查看是否有信息泄露的信息