js | CN-SEC 中文网

安全文章

JS敏感信息挖掘实战案例分享

大家都知道，如果要挖掘JS中的敏感信息，第一步就是认识JS中哪些属于敏感信息，或者是间接可以利用造成敏感信息泄露的内容。 JS中的敏感信息敏感信息可能包括（但不限于）：私有API密钥（例如，无限制的...

01月16日11 views评论

阅读全文

安全文章

JS Review+GraphQL滥用实现管理面板访问

正文在收集目标范围后，我发现了一个用于管理的控制台界面，但没有注册功能：于是我开始尝试：1、模糊测试注册端点 -> 失败 2、在请求中将登录替换为注册 -> 再次失败尝试均未奏效后，...

01月04日8 views评论

阅读全文

安全工具

一个JS在线审计网页

https://q1uf3ng.github.io/jslook/ 下载： https://github.com/q1uf3ng/jslook/tree/main 把js复制下来进行自动发现在线js...

12月17日22 views评论

阅读全文

安全文章

实战:渗透一个node站点拿到后台权限

前言遇到一个站，后端是Node.js写的，对于这种类型的站点，一般比较难getshell，但也实现了最终的目标，拿到后台权限信息搜集先进行常规的信息搜集，子域名扫描、端口扫描、目录扫描等这个站...

11月07日13 views评论

阅读全文

安全文章

实战-一次迂回渗透测试

当着当着狗我又变成了RT-第一个站锤了两天的站只是为了证明我可以三篇文章，三个站，此行心灵受到创伤的一次。世上无难事虽然最后都捶下来了，但还是败给了人情世故最少的是锤了半天最长是花费了两天捶...

09月25日27 views评论

阅读全文

安全文章

GeoServer property RCE注入内存马

1 背景GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。在GeoServe...

09月25日33 views已关闭评论

阅读全文

WEB前端逆向JS RPC简介

创建: 2024-08-28 17:08目录: ☆ 背景介绍 ☆ JsRpcDemo&n...

08月30日安全文章36 views评论

阅读全文

安全开发

vue3+vite+axios+mock从接口获取模拟数据实战

在用Vue.js开发前端应用时通常要与后端服务进行交互，例如通过API接口获取数据，在后端服务接口还没有具备之前，可以通过mock(模拟)数据来进行开发。使用mock数据可以让前端开发人员独立于后端开...

08月27日79 views评论

阅读全文

安全文章

JS文件中的敏感信息+swagger接口测试

JS 文件中的敏感信息实战中会经常遇到很多 js 文件，在 js 文件中很可能会遇到一些敏感信息和路径之类的，遇到路径可以尝试拼接，有可能会遇到未授权的情况等等，也有很多站点是 webpack 打包...

08月18日21 views评论

阅读全文

安全工具

快速查找JS文件中的敏感信息

JS 文件中的敏感信息实战中会经常遇到很多 js 文件，在 js 文件中很可能会遇到一些敏感信息和路径之类的，遇到路径可以尝试拼接，有可能会遇到未授权的情况等等，也有很多站点是 webpack 打包，...

08月15日37 views评论

阅读全文

安全文章

记一次接管大量工控设备案例

0x01某华摄像头扫端口时发现一个明文显示账号密码的系统。点击登录，进入后台立刻又跳到主页只要不放包，就一直在后台xss加一http://xxxxxxx:9936/files/res/im...

08月14日26 views评论

阅读全文

安全工具

一款JS接口提取,漏洞检测工具

1软件使用其余功能比较简单，只介绍漏洞检测和JS接口漏洞检测第一步：先配置各种API 第二步：选择一个空间测绘第三步：选择自己的脚本，检测即可脚本编写要求【可以参考模板】 1、要求只从控制台...

08月14日26 views评论

阅读全文

JS敏感信息挖掘实战案例分享

JS Review+GraphQL滥用实现管理面板访问

一个JS在线审计网页

实战:渗透一个node站点拿到后台权限

实战-一次迂回渗透测试

GeoServer property RCE注入内存马

WEB前端逆向JS RPC简介

vue3+vite+axios+mock从接口获取模拟数据实战

JS文件中的敏感信息+swagger接口测试

快速查找JS文件中的敏感信息

记一次接管大量工控设备案例

一款JS接口提取,漏洞检测工具

在线咨询

微信