官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
浅谈js在挖掘CNVD通用漏洞中的思路,附实战案例
cmds- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文纯干货详细记述了利用js在挖掘cnvd通用漏洞中的思路以及附带的实战案例。
免责声明
本帖旨在于技术交流,请勿用于任何不当用途!由此而引起的一切不良后果均与本人无关。
一、前言
JS渗透测试是一种针对客户端JavaScript代码的安全测试方法,旨在发现和利用应用程序中潜在的安全漏洞。那么在本文中,我们不去讲述常见的XSS、CSRF这些漏洞,我们要去讲述一些在挖掘漏洞中非常实用的技巧,并且依靠这种方法,我也是成功挖掘到了许多cnvd的通用漏洞,欢迎各位师傅一起补充、指点。
二、正文
首先,当我们拿到一个登陆站点,常见的漏洞方法都尝试却依然无果,那么此时我们可以尝试查看网页源代码,看看都加载或者调用了哪些js文件。查看重要文件,一是寻找配置文件,二是查看app.xxx.js文件。
常见的重要文件:
| 配置文件 | /config/index.js | /config/menu.js | 包含index | 包含config | 包含menu | 包含common | 包含login | 包含cookie | 可以找到后台登录成功页面的地址 |
| app系统主文件 | app.xxx.js |
可试读前30%内容
¥ 9.9 全文查看
9.9元开通FVIP会员
畅读付费文章
畅读付费文章
最低0.3元/天
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 cmds 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
SRC及CNVD原创漏洞挖掘实战过程
cmds LV.2
天行健,君子以自强不息
- 4 文章数
- 12 关注者
记一次外网打点提权到内网横向(学习笔记一)
2024-03-31
渗透测试 | 微信小程序反编译审计漏洞(学习笔记)
2024-03-04
渗透测试(红蓝攻防)浅谈信息搜集(被动)
2024-02-03
文章目录