渗透实战|双记一次安服仔薅洞实战-前端JS的相爱相杀

文章首发于:奇安信攻防社区https://forum.butian.net/share/1441哈喽everyone，我又双回来了，猴子点点的渗透测试工程师这次来分享一个关于前端JS渗透测试的实战教程，这一次也是干公司的项目，老样子还是一个登录框的渗透测试。前端JS通常会泄漏一些接口用于与后台服务器交互，时常会出现未授权或者越权等操作，这一次遇到一个很有意思的接口，下面进入正题吧首先登录框还是那个登录框，他又来了用Wappalyzer识别一下看看用了什么技术搭建的网站，一看vue就知道了这是一次很费眼睛的JS前端代码审计了F12到web前端控制台看看，vue框架就是前后端分离的居多，其中有个特性就是js文件很多接口都写在前端，通过js文件去跟服务器后端交互的，先看app这个js文件是主文件，很多接口都写在这个文件里面这里教一些前端看代码的小技巧，第一个是js ………………………………