JavaScript 枚举!
JavaScript 是一种可以在任何浏览器中运行的编程语言,多年来,随着开发人员使用这种语言为 Web 应用程序提供功能,JavaScript 具有令人印象深刻的重要性!
例如与服务器交互
这就是为什么我们必须枚举每个 JS 文件并尝试寻找有趣的东西,我们可能会在代码本身中找到密码甚至漏洞!
JavaScript 枚举工具:
-
开发者工具
-
浏览器(为此我喜欢 Chrome)
-
BurpSuite
-
grep 工具
我为什么要这样做?
-
由于在客户端实现的逻辑,我们可以进一步了解我们的目标
-
我们可以找到秘密的东西!
-
我们可以在应用程序中发现非常严重的错误!
(想象一下代码中的管理员密码!)
方法
-
尝试获取所有 JavaScript 文件
-
尝试使代码看起来干净漂亮(您可以使用开发人员工具来做到这一点)。
-
尝试搜索关键字(admin, password, api, /api, api_key)
-
对于动态分析,您可以使用开发人员工具并使用断点来更好地理解代码。
了解 JavaScript 可以完成的事情的数量非常有趣,这就是为什么进行良好的枚举非常重要的原因!
资源:
如果你想了解更多相关内容
-
https://www.hacker101.com/sessions/javascript_for_hackers
-
-
https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9
-
https://ctf.hacker101.com/ctf(练习)
-
https://github.com/google/firing-range (更实际的练习,这很棒!)
原文始发于微信公众号(军机故阁):JavaScript 枚举
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论