官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
SRC实战| 如何优雅的利用路由调用发现隐藏API接口
Todreaming- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
概述
在当今的Web应用安全领域,小程序和Vue等前端框架的普及为安全测试带来了新的挑战和机遇。这些技术虽然提高了开发效率和用户体验,但也可能引入新的安全漏洞。本文将探讨如何利用小程序和Vue框架中的路由机制来进行安全测试,特别关注通过路由调用发现潜在漏洞的方法。
我们将首先简要介绍小程序和Vue框架中路由的工作原理,然后深入分析在安全测试中如何利用这些路由机制调用隐藏API去发现漏洞,主要介绍一下笔者的思路,欢迎大家一体讨论学习(注: 由于是实战,需要做了必要的脱敏处理)
javascript vue框架调用路由
主要使用 this.$router 查看所有路由
- 下断点的位置,最好找到this.$router.push 全局搜索
- 找几个下个断点,最好关注url中的跳转或者网络中的链接
- 点击发现可能会触发断点,可以先放一下
- 在控制台使用 this.$router查看js中的所有路由,会发现存在多个主路由
this.$router主路由
子路由,已/order为例,记住格式 name: 'other.index',
- 调用 name: "other.jydQrcode" 路由
this.$router.push({
name: 'other.jydQrcode',
})
成功调用了
- 发现其他隐藏的路由,存在SQL注入漏洞和短信轰炸
SQL注入
可试读前30%内容
¥ 19.9 全文查看
9.9元开通FVIP会员
畅读付费文章
畅读付费文章
最低0.3元/天
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
Todreaming
这家伙太懒了,还未填写个人描述!
已在FreeBuf发表 3 篇文章
本文为 Todreaming 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
Todreaming LV.2
这家伙太懒了,还未填写个人描述!
- 3 文章数
- 9 关注者
Freebuf文章| 快速上传Freebuf图片
2024-09-06
漏洞挖掘 | SRC中的多维度信息收集(汇总篇)
2024-09-06
文章目录