跳至主要內容
  • Hostloc 空間訪問刷分
  • 售賣場
  • 廣告位
  • 賣站?

4563博客

全新的繁體中文 WordPress 網站
  • 首頁
  • 拿到前端路由了以后应该怎么攻击?
未分類
12 11 月 2020

拿到前端路由了以后应该怎么攻击?

拿到前端路由了以后应该怎么攻击?

資深大佬 : liuser666 3

包括各种权限管理的路由,但是没权限进入,被 vue-router 卡住了. 想听听思路. 感觉现在的攻击方法都是朝服务器的, 前端安全领域倒不是很了解.

大佬有話說 (25)

  • 資深大佬 : jatai

    投案自首是你唯一的出路

  • 資深大佬 : skrskrskrskr

    vue 这种可以直接绕过看界面

  • 資深大佬 : linauror

    主要靠后端来防范,毕竟数据都是通过后端操作数据库的

  • 資深大佬 : shenyu1996

    chrome devtool 的 overrides 改 js ?
    有 sourcemap 的话可以先还原出源码

  • 主 資深大佬 : liuser666

    @skrskrskrskr 怎么绕,求教

  • 主 資深大佬 : liuser666

    @linauror 他确实有点不小心,从路由表里搞到了组织架构的 data 和管理面板的 route,但是进不去…

  • 資深大佬 : shintendo

    拿到前端路由有卵子用,前端本来就在用户完全控制之下的

  • 資深大佬 : shintendo

    @liuser666 没什么不小心的,前端权限是做体验,不是做安全

  • 主 資深大佬 : liuser666

    @shintendo 好的

  • 資深大佬 : gouflv

    一个 router 就能把你卡住?主还是算了吧

  • 主 資深大佬 : liuser666

    @gouflv 没有没有我就是玩玩,不是安全人员.hahah

  • 資深大佬 : yhxx

    被 vue-router 卡住了是什么意思?
    vue-router 的限制逻辑就算绕过去了你也只能看看页面吧,数据和需要权限的操作大概率是没法处理的

  • 資深大佬 : drydiy

    前端有个毛线的安全可言???
    前端能做的只是拦住普通用户,做好校验体验。
    至于安全,肯定是靠后端啊,放到服务器上的代码才是安全的。浏览器上的代码,能有什么安全。

  • 資深大佬 : huijiewei

    前端有什么安全可言?

    你直接拦截 api 请求搞个 mock 服务

    前端还不是随便体验

  • 資深大佬 : loading

    你是不是感觉你在前端代码里看到了全部?
    很遗憾,那是水面上的冰山而已。

  • 主 資深大佬 : liuser666

    @loading 很遗憾,我觉得你们都没有意识到前端的安全的问题,我通过前端路由拿到了开发者经常用的测试服务器地址、了解了开发逻辑和一系列为了开发方便直接放在接口上数据(不要说你们没做过),尤其是超级管理员账号。
    还有,前后端知识我还是了解的,在这个前提下我在想有何奇袭的地方可以考虑,但是你们都没有回答到点子上。

  • 資深大佬 : hcymk2

    @liuser666
    你说的那些问题难道不都是后端造成的么?

  • 主 資深大佬 : liuser666

    @hcymk2 前后端分那么开干嘛呢?虽然现在前后端开发比较盛行,以前又不是,我也没说不能从前端入手找后端漏洞……

  • 資深大佬 : dddd1919

    1.浏览器右键打开检查工具
    2.找到 header 或底部 scripts 处引用 vue-router 的元素
    3.右键 – 编辑 html 元素
    4.删除这个引用 vue-router 的这段 html
    5.回车完成编辑

    然后这个页面就没有 vue 的限制了,你可以大摇大摆的攻击他们

  • 資深大佬 : BoarBoar

    @liuser666 #16 我们测试服不联外网,开发逻辑我不知道前端要处理啥业务逻辑,开发留的接口都没前端页面直接 postman 看数据,至于超级管理员账号我更是不知道为啥前端代码里会有。
    每一个合格的后端都知道一切前端请求都是不可信的,开始开发就做好了前端被改代码的准备,我是想不到能怎么找。

  • 資深大佬 : Ptu2sha

    。。。你不会以为那种抽奖都是前端生成结果的把

  • 資深大佬 : EminemW

    测试服务器地址为啥会出现前端代码里? 不用 nginx 做转发么。。

  • 資深大佬 : black11black

    @liuser666 开发服务器唯一加密方式是把 ip 藏起来?醉人心脾

  • 資深大佬 : leeshuai

    年轻人,我劝你耗子尾汁

  • 資深大佬 : iwh718

    这有啥用 难道后端会傻乎乎的不鉴权直接给数据 应该进入了也是空白

文章導覽

上一篇文章
下一篇文章

AD

其他操作

  • 登入
  • 訂閱網站內容的資訊提供
  • 訂閱留言的資訊提供
  • WordPress.org 台灣繁體中文

51la

4563博客

全新的繁體中文 WordPress 網站
返回頂端
本站採用 WordPress 建置 | 佈景主題採用 GretaThemes 所設計的 Memory
4563博客
  • Hostloc 空間訪問刷分
  • 售賣場
  • 廣告位
  • 賣站?
在這裡新增小工具