内容来自bili白帽大法师白帽大法师的个人空间-白帽大法师个人主页-哔哩哔哩视频 (bilibili.com)
四种方式
目录
1、JS中存在插件名字,根据插件找到相应的漏洞直接利用
2、JS中存在一些URL链接,根据URL链接找到相应的页面进一步测试和利用
3、JS中存在一个子域名,可以直接访问子域名
4、JS中的一些注释可能泄露以账号密码或者其他的
在漏洞挖掘中的重要地位
是 Web页面的脚本语言,主要用来向HTML页面添加交互行为,有以下几个作用javascript
1、嵌入动态文本于HTML页面
2、对浏览器事件做出响应
3、读写HTML元素
4、在数据被提交到服务器之前验证数据
5、检测访客的浏览器信息
JS在漏洞挖掘中的重要地位
在实战的漏洞挖掘中阅读JS有以下几个作用:
1、JS中存在插件名字,根据插件找到相应的漏洞直接利用
有网站的f12查找的js文件中,发现这个js框架是引用别人的公司的,且对方公司域名和框架名称也显示出来了,在网上搜索,发现这个这个框架之前出现了漏洞,然后利用,攻击成功
2、JS中存在一些URL链接,根据URL链接找到相应的页面进一步测试和利用
3、JS中存在一个子域名,可以直接访问子域名
4、JS中的一些注释可能泄露以账号密码或者其他的
