检测vuejs一些小技巧
Posted web安全研究院
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了检测vuejs一些小技巧相关的知识,希望对你有一定的参考价值。
及时没学过vuejs也可以尝试这几种方法
例如:
http://admin.xxxxx.me/
查看源代码
发现JS很乱
可以通过网页版美化JS进行复原 就可以正常分析。 (或通过前端JS的source map 还原所有的API)
谷歌浏览器中带的插件
识别出就会是绿色
得出所有过程
找出登录相关的代码。
如果你们学过JS 但是没学过vuejs的话。
可以通过一些常用的关键字,比如定义内存
例如 set ,admin,system,等关键字。
store.set('miaojian:token', data.token)
this.close()
得知登录成功之后的代码。虽然不知道是啥意思,但是JS始终是在客户端控制,
两种情况,第一种不是写入自己的内存 或是写入一个变量。(我瞎说的 不知道对不对)
写入内存:
localStorage.setItem("miaojian:token",1);
PS: 刚开始的时候以为禁用JS 或者 拦截跳转即可,但是发现不行。因为他是用JS来发送请求的,如果拦截跳转的话 他JS判断没内存就不会发送HTTP请求。
漏洞利用成功之前 他们必须要接口没做校验,否则利用不了。
原理:代码判断你的内存是否有值,如果有就会请求api.
简单明了:
看不懂vuejs就 看他走的JS流程,然后进行分析,找出登录成功相关代码,然后判断他是通过什么流程最后来请求api。
以上是关于检测vuejs一些小技巧的主要内容,如果未能解决你的问题,请参考以下文章