浅谈js在挖掘CNVD通用漏洞中的思路，附实战案例

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

2024-01-29 11:18:02

本文纯干货详细记述了利用js在挖掘cnvd通用漏洞中的思路以及附带的实战案例。

免责声明

本帖旨在于技术交流，请勿用于任何不当用途！由此而引起的一切不良后果均与本人无关。

JS渗透测试是一种针对客户端JavaScript代码的安全测试方法，旨在发现和利用应用程序中潜在的安全漏洞。那么在本文中，我们不去讲述常见的XSS、CSRF这些漏洞，我们要去讲述一些在挖掘漏洞中非常实用的技巧，并且依靠这种方法，我也是成功挖掘到了许多cnvd的通用漏洞，欢迎各位师傅一起补充、指点。

首先，当我们拿到一个登陆站点，常见的漏洞方法都尝试却依然无果，那么此时我们可以尝试查看网页源代码，看看都加载或者调用了哪些js文件。查看重要文件，一是寻找配置文件，二是查看app.xxx.js文件。

配置文件	/config/index.js	/config/menu.js	包含index	包含config	包含menu	包含common	包含login	包含cookie	可以找到后台登录成功页面的地址
app系统主文件	app.xxx.js

# 漏洞 # 渗透测试 # web安全 # 漏洞分析 # 网络安全技术

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多