WEB攻防篇(四):JavaScript & JS特性 & 常见漏洞
JS特性
相对于没有源码的PHP属于有源码的白盒测试。
如何判断网页是JS写的
- 浏览器插件:Wappalyzer
- 源代码简短(因为其他代码都写在js里了)
- 引入多个js文件
- 一般有/static/js/app.js等顺序的js文件
- cookie中有connect.sid
JS安全问题出现的位置
引用框架
- Node.js
- Vue.js
看框架有没有爆出过漏洞。
原生代码
不引用框架手写的JS代码。
常见安全漏洞
前端验证绕过
- 禁用浏览器JS
- 截包修改返回状态码
URL泄漏
未授权访问
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 go0d1uck's Blog!
微信
支付宝
