js | CN-SEC 中文网

未分类

记一次Node.js站点渗透

前言遇到一个站，后端是Node.js写的，对于这种类型的站点，一般比较难getshell，但也实现了最终的目标，拿到后台权限信息搜集先进行常规的信息搜集，子域名扫描、端口扫描、目录扫描等这个站...

06月09日42 views评论

阅读全文

安全文章

Webpack源码泄露漏洞批量探测

原文链接：https://xz.aliyun.com/news/17972 作者：回忆潋红雨 Webpack漏洞测试一、漏洞原理 Webpack 源码泄露漏洞是一种由于前...

05月18日25 views评论

阅读全文

安全文章

JS敏感信息挖掘实战案例分享

大家都知道，如果要挖掘JS中的敏感信息，第一步就是认识JS中哪些属于敏感信息，或者是间接可以利用造成敏感信息泄露的内容。 JS中的敏感信息敏感信息可能包括（但不限于）：私有API密钥（例如，无限制的...

01月16日12 views评论

阅读全文

安全文章

JS Review+GraphQL滥用实现管理面板访问

正文在收集目标范围后，我发现了一个用于管理的控制台界面，但没有注册功能：于是我开始尝试：1、模糊测试注册端点 -> 失败 2、在请求中将登录替换为注册 -> 再次失败尝试均未奏效后，...

01月04日11 views评论

阅读全文

安全工具

一个JS在线审计网页

https://q1uf3ng.github.io/jslook/ 下载： https://github.com/q1uf3ng/jslook/tree/main 把js复制下来进行自动发现在线js...

12月17日31 views评论

阅读全文

安全文章

实战:渗透一个node站点拿到后台权限

11月07日19 views评论

阅读全文

安全文章

实战-一次迂回渗透测试

当着当着狗我又变成了RT-第一个站锤了两天的站只是为了证明我可以三篇文章，三个站，此行心灵受到创伤的一次。世上无难事虽然最后都捶下来了，但还是败给了人情世故最少的是锤了半天最长是花费了两天捶...

09月25日28 views评论

阅读全文

安全文章

GeoServer property RCE注入内存马

1 背景GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。在GeoServe...

09月25日38 views已关闭评论

阅读全文

WEB前端逆向JS RPC简介

创建: 2024-08-28 17:08目录: ☆ 背景介绍 ☆ JsRpcDemo&n...

08月30日安全文章36 views评论

阅读全文

安全开发

vue3+vite+axios+mock从接口获取模拟数据实战

在用Vue.js开发前端应用时通常要与后端服务进行交互，例如通过API接口获取数据，在后端服务接口还没有具备之前，可以通过mock(模拟)数据来进行开发。使用mock数据可以让前端开发人员独立于后端开...

08月27日85 views评论

阅读全文

安全文章

JS文件中的敏感信息+swagger接口测试

JS 文件中的敏感信息实战中会经常遇到很多 js 文件，在 js 文件中很可能会遇到一些敏感信息和路径之类的，遇到路径可以尝试拼接，有可能会遇到未授权的情况等等，也有很多站点是 webpack 打包...

08月18日26 views评论

阅读全文

安全工具

快速查找JS文件中的敏感信息

JS 文件中的敏感信息实战中会经常遇到很多 js 文件，在 js 文件中很可能会遇到一些敏感信息和路径之类的，遇到路径可以尝试拼接，有可能会遇到未授权的情况等等，也有很多站点是 webpack 打包，...

08月15日39 views评论

阅读全文

记一次Node.js站点渗透

Webpack源码泄露漏洞批量探测

JS敏感信息挖掘实战案例分享

JS Review+GraphQL滥用实现管理面板访问

一个JS在线审计网页

实战:渗透一个node站点拿到后台权限

实战-一次迂回渗透测试

GeoServer property RCE注入内存马

WEB前端逆向JS RPC简介

vue3+vite+axios+mock从接口获取模拟数据实战

JS文件中的敏感信息+swagger接口测试

快速查找JS文件中的敏感信息

在线咨询

微信