漏洞挖掘 | 某系统中少见的前端登录校验

已于 2024-09-28 12:15:21 修改
阅读量83 收藏 1
点赞数 4
文章标签: 前端 数据库 sql 安全 web安全 网络安全 计算机
于 2024-09-28 12:11:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/142613967
版权

 0 前言

我也是第一次碰到前端登录校验的站点,那所谓前端校验,就是不走后端,这种情况大概率会在前端存着登录的账号和密码,除此之外,一些验证码也可能会在前端校验。

1 测试

如下图,点普通的功能点均显示服务器错误。

图片

img

我往下滑,挨个点啊点,一直点到这个功能点

图片

img

诶他自动给我跳了一个登录窗口

图片

img

这不就有的测了嘛,那第一步肯定要跑一下弱口令是吧。正常开启bp抓包,没有抓到?直接弹窗告诉我密码错误?之前看过一篇类似的文章,已经死去的记忆开始攻击我。

图片

img

好打开前端源码,开始检索,username,passwd,账号,密码,诶pwd检索到了。直接拿到账号密码

图片

img

登录成功,之前看不了的全都能看了

图片

img

无 偿 获 取 网络安全优质学习资料与干货教程

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

渗透测试老鸟-九青
关注
前端开发:使用JS正则表达式校验邮箱和手机号的方法
软贱开发攻城狮
07-23 2408
前言 在前端开发过程,通过使用JS的正则表达式来校验输入的邮箱或者手机号是否正确,这也是一个非常常见的业务情景需求。尤其是在登录注册场景和有关提交邮箱和手机号相关的时候,一定需要做输入校验,这是正常开发所必须要的处理操作。那么本文就来分享一下关于JS正则表达式来校验输入的邮箱和手机号是否正确的方法。 通过正则表达式可以做很多事情,这里只是简单的来介绍一下通过正则表达式来校验账户信息相关的使用,对正则表达式感兴趣的可以另做详细了解,这里不再一一介绍。 语法 正则表达式(regular expre
认证和授权类漏洞挖掘指南
莫慌的博客
07-10 1015
认证和授权机制的安全性对于保护系统至关重要。通过本文的介绍,希望能够提高大家对这些漏洞的认识,并采取相应的措施进行防范和修复。安全是一个持续的过程,需要我们不断地学习、检测和更新。
逻辑漏洞-其二(登录验证码安全
qq_64177395的博客
09-10 1170
验证码漏洞检测流程。
登录框界面之渗透测试思路总结
薛定谔嘚喵博客
06-27 3186
大家都知道,渗透的过程,遇见登录框是很常见的。下面就简单总结一下渗透遇见登录页面的思路:首先登录页面可能产生哪些漏洞呢?1、弱密码与暴力破解2、万能密码、SQL与XSS(注入)3、登录时,不安全的用户提示:比如提示用户名不存在或者密码验证码错误4、查看登录页面源代码,看是否存在敏感信息泄露5、不安全的验证码6、在注册账号的时候,是否存在不安全的提示7、不安全的密码,在注册账号的时候密码没有限制复杂度8、任意无限注册账号9、在暴力破解的时候不会限制ip,锁定用户。
系统集成项目管理工程师笔记
热门推荐
gly1653810310的博客
10-26 2万+
目录依据第二版教程
web渗透测试之攻破登录页面
Internet_xx的博客
07-04 4316
web渗透测试之攻破登录页面 当我们在做渗透测试时,无论厂商项目还是src众测项目,都会遇到给一堆登录系统的URL,然后让我们自己去测,能不能进去全看天的状况,本文将讲一下怎么突破这种封闭的web系统,从而进行更深层次的渗透 ,学完后你会发现,其实你就是系统管理员。 0x0 0系统绕过: 如果能直接绕过登录系统界面,后面的就比较好做了,目前常见的登录系统绕过方法有: 利用xss获取到已经登陆用户或者是管理员的cookie,替换cookie后进入系统 SQL注入利用万能密码登录,常见的万能密码有: ‘or
信息化和信息系统
水务人
05-03 1705
信息化和信息系统
代码审计的文件上传漏洞
weixin_30883311的博客
03-13 214
0x00 背景 文件上传漏洞是一种威胁极大的漏洞,如果存在该漏洞,黑客一般会上传一个可执行文件至服务器,如木马,通过这个文件来获取服务器的一定权限。如果对这种攻击方式防范不严,我们会受到极大的损失。本文以代码审计的形式研究文件上传漏洞的原理、挖掘形式、防御方案及缺陷。 0x01 文件上传漏洞的产生原理 文件上传漏洞是由程序解析了黑客上传的恶意程序产生的,我们以DVWA的low级别源...
业务逻辑漏洞总结
qq_48904485的博客
03-22 7345
一、漏洞简介 业务逻辑漏洞产生的最核心原因,就是在编写程序时,只考虑了常规的操作流程,即“当在A情况下,就会出现B,此时执行C即可”,但是开发者却没有考虑当用户执行了意料之外的X时会发生什么。这种对于异常情况的欠考虑,最终导致了安全漏洞的产生。 应用的缺陷通常分为两种类型: 在不同的应用有相同的特征 与应用程序/业务领域严格相关 其第一种类型的缺陷,就是类似SQL注入、XSS之类的常规漏洞。这一类漏洞的产生,主要是因为应用程序依赖用户的输入来执行某些重要的功能,但是在用户输入了一些非法字符时,应用
登录界面——渗你千千万万遍
m0_51581045的博客
04-20 7160
小菜鸡分享自己遇见登录界面的渗透测试思路,欢迎大佬们分享思路
10 使用Vue+axios+Vuex实现登录前端数据本地化存储实战
xingyu_qie的专栏
04-03 7772
本文重点讲述Vuex的实战使用
前端常用正则校验
chanzhiliao的博客
09-19 2188
一、校验数字的表达式 数字:1$ n位的数字:^\d{n}$ 至少n位的数字:^\d{n,}$ m-n位的数字:^\d{m,n}$ 零和非零开头的数字:^(0|[1-9][0-9])$ 非零开头的最多带两位小数的数字:^([1-9][0-9])+(.[0-9]{1,2})?$ 带1-2位小数的正数或负数:^(-)?\d+(.\d{1,2})?$ 正数、负数、和小数:^(-|+)?\d+(.\d+)?$ 有两位小数的正实数:2+(.[0-9]{2})?$ 有1~3位小数的正实数:3+(.[0-9]{1,3})
参数校验(一)——前端校验
u012512634的专栏
08-10 2457
1.validate简介 2.基本用法 3.自定义校验方法 4.常见问题 4.1 更改error信息位置 4.2 级联校验 4.3 对checkbox、radio、select标签的验证 4.4 正则表达式 1.validate简介 ​  jQuery Validate 插件为表单提供了强大的验证功能,让客户端表单验证变得更简单,同时提供了大量的定制选项,满足应用程...
前端必填字段校验
zxy_go1的博客
07-01 2644
第一步:在提交的时候添加一个点击事件 <input id="save" class="t4_btn t4_red_btn" type="button" value="提 交" onclick="saveZjjgRegister()"> 第二步:在form表单之前加入一个校验的函数 function saveZjjgRegister() { if (!vaildForm()){ return
day01
最新发布
JiangMeiXue的博客
09-25 176
目录。
解决uniapp使用up-form组件,uView提示:未设置rules,请看文档说明!如果已经设置,请刷新页面。
李浩洋
09-24 218
解决uniapp使用up-form组件,uView提示:未设置rules,请看文档说明!如果已经设置,请刷新页面。up-form组件 :model=“formData” :rules=“rules”要赋初始值
Vue常见的布局方式
张雨的博客
09-24 351
【代码】Vue常见的布局方式。
webview2加载本地页面
qq_25160759的博客
09-23 617
推荐使用这种方式,加载速度比WebResourceRequested快(实测的确是快点),但是需要支持:ICoreWebView2_3。个人测试加载html字符串,对于html引入了css和js,加载不太友好。这种方式是通过截获网络请求,然后返回需要的数据。以达到成功请求的假象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值