【Vue渗透】Vue站点渗透思路

最新推荐文章于 2024-04-29 10:42:46 发布
最新推荐文章于 2024-04-29 10:42:46 发布
阅读量999 收藏 4
点赞数 8
分类专栏: 经验笔记 文章标签: vue.js 前端 javascript 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47493625/article/details/136227048
版权

原文地址

极核GetShell

前言

本文经验适用于前端用Webpack打包的Vue站点,阅读完本文,可以识别出Webpack打包的Vue站点,同时可以发现该Vue站点的路由。

成果而言:可能可以发现未授权访问

识别Vue

识别出Webpack打包的Vue站点可以通过以下几种方式

在这里插入图片描述

  • 通过浏览器开发者工具
    • 源代码 -> 在目标站点中的静态文件中找到类似于app.\**\**\**\**\**.js这样的文件
    • 网络 -> 在加载文件中发现一堆类似于chunk-\**\**\**\**\*.js的js文件

在这里插入图片描述

在这里插入图片描述

  • 浏览器URL栏特征
    • 识别地址栏带/#/

在这里插入图片描述

渗透Vue站点

找未授权的路由可以通过**手动 or 工具**的方式结合利用,先看手动方式。

未授权访问 – 手动

手动打开**app.\**\**\*.js**文件,搜索**path:**关键词,即可获得相关路径,然后就可以进行拼接尝试访问

在这里插入图片描述

未授权访问 – 工具

开发者工具 -> Vue(需要激活浏览器扩展) -> Routes

在这里插入图片描述

勇敢许牛牛在线大闯关
关注
  • 8
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
VUE+NETCORE搭建的站点项目
05-27
Vol.Vue:为前端项目 Vol.Net:为后台项目 DB提供了mysql与sqlserver数据库脚本,脚本里包括表结构与Insert数据 执行脚本时,先提前创建一个数据库,数据库名:netcoredev EntityFramework Core3.1不再支持 Sql...
Vue渗透Vue Devtools 浏览器插件
qq_47493625的博客
02-23 864
Vue Devtools 是 Vue 官方发布的调试浏览器插件,可以安装在 Chrome 和 Firefox 等浏览器上,直接内嵌在开发者工具中,使用体验流畅。Vue Devtools 由 Vue.js 核心团队成员 Guillaume Chau 和 Evan You 开发。在渗透测试中,可以利用该插件进行站点调试,发现路径,说不定会有意外的收获(未授权访问等)!
前端VUE渗透测试的一些技巧和思路
weixin_46622976的博客
01-10 1453
webpack VUE
针对Vue前后端分离项目的渗透思路
weixin_52501704的博客
04-30 2265
1. 在常规场景下,前端的项目一般搭建在公网上,而 API 接口也就是后端服务器是部署在内网,但是很多情况下,开发者为了方便管理和调试,会在公网 Api 后端服务器上搭建一个后台管理界面从而方便管理数据,这种情况下就会存在一定的几率导致泄露出后端服务器的 IP,所以我们不仅可以在 js 文件中发现 API 接口,还可以去尝试去获取 IP 和域名。查找未授权 Api 接口去尝试进行常规测试,例如 SQL 注入,XSS,SSRF,命令执行,XXE,Fastjson,Shiro 等。
针对Vue框架渗透测试-未授权访问目录漏洞【渗透实战+工具开发】
热门推荐
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
07-18 1万+
针对vue框架渗透测试vue漏洞,vue未授权访问目录漏洞复现和实战,针对vue未授权目录访问漏洞的安全工具开发,javafx漏洞扫描工具开发。
现成的vuepress个人站点
03-10
现成的vuepress个人站点,您只需要下载下来,通过替换图片、文字,就能创造属于您自己的网站,超级简单的可以学习到最基本的vuepress是如何创建一个自己的博客的。
vue项目实战 vue项目实战
01-20
vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战vue项目实战...
Vue devtools插件 6.1.3
05-29
Vue devtools插件 6.1.3
vueDevTools
07-04
vue、uniapp调试工具
三、VUE数据代理
最新发布
D_A_I_H_A_O的博客
04-29 273
Vue中的数据代理:通过vm对象来代理data对象中属性的操作(读/写)
党务学习|基于SprinBoot+vue的大学生党务学习平台(源码+数据库+文档)
伟庭的博客
04-27 659
大学生党务学习平台管理系统按照操作主体分为管理员和用户。用户的功能等。该系统采用了Mysql数据库,Java语言,Spring Boot框架等技术进行编程实现。大学生党务学习平台管理系统可以提高大学生党务学习平台信息管理问题的解决效率,优化大学生党务学习平台信息处理流程,保证大学生党务学习平台信息数据的安全,它是一个非常可靠,非常安全的应用程序。大学生党务学习平台管理系统;入党申请,党课Mysql数据库;Java语言。
vue 快速入门 系列 —— 玩转 CMS
ZL4120505的博客
04-29 403
例如 src/layouts/BasicLayout.less,里面包含一些基本布局的样式,被 src/layouts/BasicLayout.vue 引用,项目中使用这种布局的页面就不需要再关心整体布局的设置。好比中医发展了好几千年,许多本源的东西老中医也是不清楚的,但我们摸索出一套规则,按照这个能治病,这个就很好。.clearfix() 混合器定义了清除浮动的样式。组件相关的样式,有一些在页面中重复使用的片段或相对独立的功能,你可以提炼成组件,相关的样式也应该提炼出来放在组件中,而不是混淆在页面里。
vue报错:Do not mutate vuex store state outside mutation handlers.
weixin_44021888的博客
04-25 307
vue报错:Do not mutate vuex store state outside mutation handlers.
el-tree 或 el-tree-select 根据条件,控制节点的显示隐藏
IT_dabai的博客
04-25 283
要求el-tree-select 的节点根据节点数据状态来进行显示隐藏(状态字段为status,显示:‘1’,隐藏:‘0’)
el-popover放在el-table中点击无反应问题
Z_Gleng的博客
04-24 252
我们想在table中给btn加弹框但是 el-popover点击按钮没有任何反应。:通过插槽去添加这个组件el-popover的id是否绑定了一个值。给每个el-popover都加上单独的id。代码 给每个组件都绑定ref。通过他的id去控制关闭。
vue 实现 下拉触底事件
haizhuang_bu的博客
04-26 213
,
vue3【详解】vue3 比 vue2 升级了哪些重要的功能?
朝阳39的博客
04-27 917
vue2 使用 new Vue() 初始化实例vue3 使用 Vue.createApp() 初始化实例。
vue3怎样使用样式渗透
04-24
感谢您使用ChitGPT,我会尽力回答您的问题。关于Vue3的样式渗透,您可以使用新的样式作用域格式,即 `::v-deep` 伪类选择器。在Vue3中,`::v-deep` 可以继承祖先组件的样式,并应用于当前组件的子元素中。示例代码如下: ``` <template> <div class="parent"> <div class="child"> <h1>::v-deep 示例</h1> </div> </div> </template> <style scoped> .parent ::v-deep h1 { color: red; } </style> ``` 在上述示例中,`::v-deep` 选择器作用于 `h1` 元素,继承了 `.parent` 组件的样式,使 `h1` 文本颜色为红色。希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

勇敢许牛牛在线大闯关

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值