前端VUE渗透测试的一些技巧和思路

最新推荐文章于 2024-05-12 05:50:24 发布
最新推荐文章于 2024-05-12 05:50:24 发布
阅读量1.7k 收藏 3
点赞数
文章标签: 前端 vue.js webpack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46622976/article/details/128627007
版权

Webpack是一个前端资源加载/打包工具。它将根据模块的依赖关系进行静态分析,然后将这些模块按照指定的规则生成对应的静态资源。

但一般情况下所有打包的文件都会被加载,导致了泄露一些敏感信息(如敏感的path,api接口等)

案例一:未授权泄露管理员账号密码

打开F12查找一些有用的信息,看了一下明显是前后端分离的站点,用了webpack进行打包,所以思路就是重点找未授权,鉴权不完善等问题

 

app.js里的加载文件引起了注意,然后就是访问了/AdminManager,但鉴权了

然后去试着构造链接,去访问它加载的文件,找到了两处接口

访问其中一处接口,发现未授权泄露大量普通管理员账号密码,(在写这个文章的时候洞已经修了,这里就不放图了)

​案例二:敏感路径泄露进行文件上传

同样发现webpack泄露

 

这个站可以注册账号,想到了鉴权不完善的问题,然后就直接去看router目录下的内容了,可惜没有什么关于权限的,但是翻到了一个文件上传接口

 

然后就是构造数据包,这里虽然是白名单,但是html会被防火墙拦截,但发现xml没有

 

成功挖到一枚XML文件上传导致的存储型XSS

总结

webpack的打包方便了大家,却也因为它的特性,使网站也存在了一些安全问题。

306Safe
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
实战渗透浅谈--记一次傀儡注入工具到Getshell
qq_29437513的博客
12-25 1308
时间: 2020-04 这是当时拿到第一个WEBSHELL,自己摸导出来的,思路比较简单,没有防护,, 1.掏出傀儡注入工具,(确实这一款工具比较牛逼,,) 2.拿出pangolin,找到某后台注入(现在这些自动化工具需要改改才能用了) 3站点没有防护(直接Dump出 admin和hash) 4.通过御剑/dirsearch等工具探测到后台路径为/login.php(估计是个废站) 5.登录后台,看到没啥功能点,锁定在logo处, 5.发现头像处没有做上传类型过滤,burp更改后缀 6.访问发
一个Vue页面的内存泄露分析详解
08-27
主要介绍了一个Vue页面的内存泄露分析详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
web前端渗透测试
baowang666666的博客
08-22 544
渗透测试中, 在我们进行http的请求修改的时候,我们应该对其中的一些特殊字符进行注意,例如:如果我们要在数据中加入 1.&,=,?等的时候要转换为%26,%3的,%3f。 此外说一说空格,空格是用来表示url的结束,我们也得将其编码为%20或者+ 所以当我们遇见+号的时候,要对其进行编码,编码成%2b;等等,我们要考虑的还有很多。   2.当我们在请求的时候,我们的%00可...
vue使用样式渗透/deep/ :deep() :global()
欢迎来到我的博客!在这里,我将分享我在前端开发方面的知识和经验。让我们一起探索前端开发的无限可能!
03-15 708
vue2使用 /deep/ .el-input{}vue3使用 :deep(.el-input) {} vue3使用 /deep/ 无效全局渗透在页面使用 :global(.el-input){} 无视模块化和scoped属性在nuxt3中使用:deep(.el-popper.is-light){} 修改无效 但是修改其他属性可以 使用的:global(.el-popper.is-light){} 就可以全局修改
2024年网络安全最新webpack入门核心知识还看不过瘾?速来围观万字入门进阶知识(1),网络安全程序员如何通过跳槽薪资翻倍
最新发布
2401_84544531的博客
05-12 780
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。但是呢,打包后的文件,把减法部分的内容,也一起,给打包进去了。来进行代码打包之后,我们可以借助打包分析的一些工具,来对我们打包生成的文件进行一定的分析,之后来看其打包的是否合理。第一个文件用来放开发环境和生产环境下共同的配置,第二个文件用来放开发环境下的配置,第三个文件用来放生产环境下的配置。到此为止,大概1个月的时间。
记录一次渗透测试艰难打点的过程
ss810540895的博客
09-01 494
此次打点过程比较艰难,用了大概三天的时间,发现帆软的系统对于这次项目来说是个绝对性的突破点,主要还是要细心,如果没注意到浏览器选项卡的logo变化,可能就错过这个漏洞了。
针对Vue框架渗透测试-未授权访问目录漏洞【渗透实战+工具开发】
热门推荐
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
07-18 2万+
针对vue框架渗透测试vue漏洞,vue未授权访问目录漏洞复现和实战,针对vue未授权目录访问漏洞的安全工具开发,javafx漏洞扫描工具开发。
vue 生命周期渗透
Luzhangfeng的博客
03-24 373
vue 生命周期 实例、组件通过 new Vue() 创建出来后会初始化事件和生命周期,然后就会执行 beforeCreate 钩子函数,这个时候数据还没有挂载,无法访问到数据和真实 dom ,一般我们在这个钩子函数里不做任何操作 挂载数据、绑定事件等,然后执行 create 函数,这个时候已经可以访问到数据了,也可以更改数据,但获取不到真实 dom,在这里更改数据不会触发 updated 函数...
针对Vue前后端分离项目的渗透思路
weixin_52501704的博客
04-30 2475
1. 在常规场景下,前端的项目一般搭建在公网上,而 API 接口也就是后端服务器是部署在内网,但是很多情况下,开发者为了方便管理和调试,会在公网 Api 后端服务器上搭建一个后台管理界面从而方便管理数据,这种情况下就会存在一定的几率导致泄露出后端服务器的 IP,所以我们不仅可以在 js 文件中发现 API 接口,还可以去尝试去获取 IP 和域名。查找未授权 Api 接口去尝试进行常规测试,例如 SQL 注入,XSS,SSRF,命令执行,XXE,Fastjson,Shiro 等。
Vue渗透Vue站点渗透思路
qq_47493625的博客
02-22 1292
本文经验适用于前端Webpack打包的Vue站点,阅读完本文,可以识别出Webpack打包的Vue站点,同时可以发现该Vue站点的路由。可能可以发现未授权访问。
Vue子组件样式渗透
海之霸痞老板
10-08 664
目录 Vue子组件样式渗透 微信公众号输入框拉起键盘撑起后不反弹 overflow: hidden scroll 在移动端失效 微信公众号详情页分享 Github又进不去了 Vue子组件样式渗透 Vue引用了第三方组件,如何在组件中局部修改第三方组件的样式? PlanA : 去掉scoped PlanB : 往更加外面的层中添加样式,如在最外面的App.vue里添加CSS样式 ...
基于VUE3 vue test utils的前端自动化测试项目
03-23
在本文中,我们将深入探讨如何基于Vue3和Vue Test Utils构建一个前端自动化测试项目,以及相关的知识点。Vue3是Vue.js框架的最新版本,它带来了许多优化和改进,包括更简洁的API、Composition API和更好的性能。Vue ...
前端测试:vue前端测试
02-13
Vue前端测试是为了确保代码的质量、功能的正确性以及性能的优化,它包括单元测试、集成测试和端到端测试等不同层面。本文将深入探讨Vue前端测试的相关知识点。 首先,我们需要理解什么是前端测试。前端测试是针对...
2023前端vue面试题及答案.pdf
06-21
本文对2023前端vue面试题及答案进行了详细的解读,涵盖了Proxy的使用、slot的理解和使用场景、优化大数据渲染的思路等多个方面。 一、Proxy的使用 Proxy是Vue 3.0中引入的一种机制,可以创建对象的虚拟表征,并...
前端vue源码(附有详细代码)
03-11
从这个文件里面可以看到项目整体的工具配置,也包含入口文件以及编译之后的代码文件,以及一些配置项的功能知道一些默认命名的文件规则,比如e2e,端对端测试unit,单元测试index.xx,一般会用来作为前端的入口文件...
前端vue2智慧商城项目
10-23
Vue2智慧商城项目】是一个基于Vue.js框架的前端应用,使用了Vue2的核心特性以及相关的生态工具,如Vuex状态管理库、Vue-Router路由管理和Element-UI组件库,来构建一个完整的网上购物平台。这个项目展示了Vue2在...
第一次被渗透测试
somenzz的博客
03-13 858
阅读本文大概需要 6.6 分钟。最近一段时间在业余时间帮朋友做了个小型的信息管理系统,主要功能:用户用户登录、注册、信息维护、业务数据的增删改查,首页信...
渗透测试
weixin_33778778的博客
09-07 69
https://blog.csdn.net/xl_lx/article/details/78399746 转载于:https://www.cnblogs.com/muxueyuan/p/9603533.html
前端vue版文件预览的实现思路
04-27
实现前端Vue版文件预览,可以按照以下思路: 1. 安装相关插件:使用Vue.js框架的话,可以安装一些相关的插件,如vue-pdf、vue-image-preview、vue-video-player等,这些插件可以帮助我们实现不同类型文件的预览。 2. 根据文件类型选择合适的插件:根据文件类型来选择合适的插件进行预览,如PDF、Word等文档类型的文件可以使用vue-pdf插件来实现预览,图片类型的文件可以使用vue-image-preview插件,视频类型的文件可以使用vue-video-player等。 3. 上传文件并获取文件地址:在预览之前,需要先将文件上传至服务器并获取文件地址,可以使用一些第三方文件上传插件,如vue-upload-component等。 4. 使用插件进行预览:根据文件类型和文件地址,使用对应的插件进行预览,如使用vue-pdf插件来实现PDF文件的预览: ```vue <template> <div> <pdf :src="pdfSrc"></pdf> </div> </template> <script> import pdf from 'vue-pdf' export default { components: { pdf }, data () { return { pdfSrc: 'https://example.com/file.pdf' } } } </script> ``` 以上是一个简单的实现思路,具体实现细节需要根据具体需求进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

306Safe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值