0 前言
我也是第一次碰到前端登录校验的站点,那所谓前端校验,就是不走后端,这种情况大概率会在前端存着登录的账号和密码,除此之外,一些验证码也可能会在前端校验。
1 测试
如下图,点普通的功能点均显示服务器错误。
我往下滑,挨个点啊点,一直点到这个功能点
诶他自动给我跳了一个登录窗口
这不就有的测了嘛,那第一步肯定要跑一下弱口令是吧。正常开启bp抓包,没有抓到?直接弹窗告诉我密码错误?之前看过一篇类似的文章,已经死去的记忆开始攻击我。
好打开前端源码,开始检索,username,passwd,账号,密码,诶pwd检索到了。直接拿到账号密码
登录成功,之前看不了的全都能看了
2 总结
果然还是一定要多看文章,说不定哪天就碰到了一个类似的功能点,然后非常简单的就有了产出。如果没有见过这种,大概率就错过了。
原文始发于微信公众号(掌控安全EDU):漏洞挖掘 | 某系统中少见的前端登录校验
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论