0 前言
我也是第一次碰到前端登录校验的站点,那所谓前端校验,就是不走后端,这种情况大概率会在前端存着登录的账号和密码,除此之外,一些验证码也可能会在前端校验。
1 测试
如下图,点普通的功能点均显示服务器错误。
img
我往下滑,挨个点啊点,一直点到这个功能点
img
诶他自动给我跳了一个登录窗口
img
这不就有的测了嘛,那第一步肯定要跑一下弱口令是吧。正常开启bp抓包,没有抓到?直接弹窗告诉我密码错误?之前看过一篇类似的文章,已经死去的记忆开始攻击我。
img
好打开前端源码,开始检索,username,passwd,账号,密码,诶pwd检索到了。直接拿到账号密码
img
登录成功,之前看不了的全都能看了
img
无 偿 获 取 网络安全优质学习资料与干货教程
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
