漏洞挖掘 | 某系统中少见的前端登录校验
0 前言
我也是第一次碰到前端登录校验的站点,那所谓前端校验,就是不走后端,这种情况大概率会在前端存着登录的账号和密码,除此之外,一些验证码也可能会在前端校验。
1 测试
如下图,点普通的功能点均显示服务器错误。
img
我往下滑,挨个点啊点,一直点到这个功能点
img
诶他自动给我跳了一个登录窗口
img
这不就有的测了嘛,那第一步肯定要跑一下弱口令是吧。正常开启bp抓包,没有抓到?直接弹窗告诉我密码错误?之前看过一篇类似的文章,已经死去的记忆开始攻击我。
img
好打开前端源码,开始检索,username,passwd,账号,密码,诶pwd检索到了。直接拿到账号密码
img
登录成功,之前看不了的全都能看了
img
无 偿 获 取 网络安全优质学习资料与干货教程
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
原文地址:https://blog.csdn.net/zkaqlaoniao/article/details/142613967
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!
-
git基础 -- 查找文件内容
在 Git 仓库中,你可以通过以下方法查找文件内容中包含特定字符串的提交记录。
阅读更多2024-09-29
-
vue中子组件怎么修改父组件中的css样式的width值
使用事件机制是一种简单直接的方法。Vuex 适合处理更复杂的状态管理。你可以根据需求选择合适的方法!如有疑问,欢迎继续提问。
阅读更多2024-09-29
-
3.5k star 一款开源简单好用的前端TAG标签组建库
它可以将普通的输入框或文本区域轻松转换为功能丰富的标签组件,具有出色的性能和小巧的代码体积。丰富的功能:Tagify支持白名单/黑名单、自动补全、粘贴多值、正则表达式分隔标签等多种功能。此外,Tagi
阅读更多2024-09-29
-
基于nodejs+vue的校园二手物品交易系统
基于nodejs+vue+MySQL的校园二手物品交易系统
阅读更多2024-09-29
-
Lodash库
例如:`_.chunk()`, `_.compact()`, `_.concat()`, `_.difference()`, `_.uniq()`。- 例如:`map()`, `filter()`,
阅读更多2024-09-29
-
three.js----快速上手,如何用vue在web页面中导入 gltf/glb , fbx , obj 模型
如何用vue在web页面中导入 gltf/glb , fbx , obj 模型
阅读更多2024-09-29
-
概率论原理
因为相互独立才产生各种组合的可能;而这些可能代表正常下可能的,而不是真实;修改概率 盯着转盘中的位置投,合谋,改变。同时1/2 概率;正正正负负负正正正负负负正正正负负负。一化儿 BILIBILI。
阅读更多2024-09-29
-
SpringBoot解决跨域问题
在 Spring Boot 项目中解决跨域问题,主要可以通过以下几种方式来实现。使用 @CrossOrigin 注解,是 Spring 4.2 后引入的。这是解决跨域问题最直接和简单的方法,@Cros
阅读更多2024-09-29
-
File 和 Blob两个对象有什么不同
Blob 是纯粹的二进制数据,它可以存储任何类型的数据,但不具有文件的元数据(如文件名、最后修改时间等)。File 是 Blob 的子类,File 对象除了具有 Blob 的所有属性和方法之外,还包含
阅读更多2024-09-29
-
【算法】反向传播算法
David Rumelhart 是人工智能领域的先驱之一,他与 James McClelland 等人在1986年通过其著作《》详细介绍了,这一算法为多层神经网络的训练提供了有效的途径,是深度学习发展
阅读更多2024-09-29
