文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)
本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!
1.前言
信息泄露随处可见,看你细不细
2.前置知识
Q1 -> assets在前端开发项目中的含义是什么?
A1 -> 一般存放开发过程中自己写的静态资源(image, css, js等)
Q2 -> webpack将带来哪些安全风险?
A2 -> 泄露各种信息,如API、加密算法、管理员邮箱、内部功能等
3.漏洞挖掘
当你因手慢而惨遭批量重复时,该如何破局?
3.1案例一
拿到厂商授权的资产以后,除了观察功能点挖掘逻辑漏洞,也要留意和assets相关的一些静态资源(可以直接f12,也可以在burp中观察自动加载的那些文件),说不定就有开发投喂的饭钱。比如这个json文件中就泄露了曾参与网站测试工程师的联系方式,粗略估计20+,这里仅以此为例
3.2案例二
看着burp上连续滚动的一条条数据包有点眼花缭乱?那这个就是懒人福音,只需要firefox + wappalyzer,唯一需要关注的就是目标站点有没有用webpack(因为这大概率存在信息泄露)
接下来可以用packer fuzzer自动化挖掘未授权,但你能想到的别人会想不到吗?所以还得再细一点,比如在所有文件中查找开发投喂的饭钱
不得不说,”secret”、”key”这类关键词非常好用,谨记。但仅凭这些凭据还不行,千万别着急交了,这将错失良机。以上述的appsecret为例,它对应的appid也在注释里,那不得用官方提供的调试工具搞一波 -> https://mp.weixin.qq.com/debug/
先拿token
接着乱so
最后余额加一
4.总结
1、留心观察细节
2、当你比别人多想一步时,已经超越了大部分人
本文是bro师傅的投稿,bgbing安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
原文始发于微信公众号(bgbing安全):SRC挖掘思路(十四)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论