从JS接口到拿下超级管理员权限
💡
原文中文,约2400字,阅读约需6分钟。
📝
内容提要
文章讨论了前后端分离网站的安全测试过程,使用FindSomeThing和URLFinder等工具进行API接口提取和测试。由于JS被压缩,提取接口时遇到困难,最终通过手动和自写脚本结合的方法成功提取了API接口。
🎯
关键要点
- 文章讨论前后端分离网站的安全测试过程。
- 使用FindSomeThing和URLFinder等工具进行API接口提取和测试。
- 通过信息收集了解网站性质和使用的技术栈。
- 前后端分离架构可能导致API接口未授权的安全漏洞。
- 基本测试流程包括登录框测试和前端源码泄露检查。
- 在提取API接口时遇到JS压缩问题,导致工具无法提取接口。
- 手动和自写脚本结合的方法成功提取API接口。
- 使用自写脚本提取baseURL和API接口,最终进行批量测试。
➡️
