利用js挖掘漏洞

中铁13层打工人 迪哥讲事 2025-03-31 22:43

前言：

在漏洞挖掘中，通过对js的挖掘可发现诸多安全问题，此文章主要记录学习如何利用JS测试以及加密参数逆向相关的漏洞挖掘。

漏洞挖掘

一、js中的敏感信息泄露

1、默认用户名密码

2、硬编码密码、其他秘钥泄露

二、js中的指纹信息

框架信息、开发商信息、版本信息等

三、js中的接口泄露

js中内含大量接口，可通过敏感字匹配爬取接口的方式来集中测试；也可结合目标测试功能点，通过截取父目录后到源码中搜索从而找到隐藏的接口，进而得到前端未显示的业务模块代码。

四、js异步加载

当访问某系统发现有多个功能模块，短时间内无法快速加载各类功能或者有不显示的业务，此时可借助异步加载执行JS文件，从而更快看到页面内容和源码且利于实现代码分割。

1、什么是异步加载js

同步加载方法通常使用