分享SRC漏洞挖掘中js未授权漏洞挖掘的小技巧
💡
原文中文,约4400字,阅读约需11分钟。
📝
内容提要
本文介绍了JS未授权漏洞的挖掘技巧,包括未授权的定义、常见类型及挖掘方法,强调使用FindSomething插件查找隐藏接口和敏感信息,并提供具体操作步骤和注意事项,旨在帮助读者掌握相关技能。
🎯
关键要点
- 本文介绍了JS未授权漏洞的挖掘技巧,旨在帮助读者掌握相关技能。
- 未授权漏洞是指在未获得授权的情况下,绕过登录限制进行操作。
- 常见的未授权漏洞包括组件类和WEB层面的漏洞。
- JS中存在指纹信息、接口信息和敏感信息,可能导致未授权访问。
- 挖掘未授权漏洞需要从网站本身查找敏感信息和接口。
- 使用FindSomething插件可以帮助寻找隐藏接口和敏感信息。
- 在使用FindSomething时,需要注意接口的参数和拼接方式。
- 构造参数时,某些情况下可以通过传参获取高权限内容。
- 分析JS和接口信息的场景包括未展示的功能点和权限限制的功能。
- 文章强调未授权攻击属于非法行为,使用者需自行承担后果。
➡️
