拿到前端路由了以后应该怎么攻击?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 1458 天前的主题，其中的信息可能已经有所发展或是发生改变。

包括各种权限管理的路由,但是没权限进入,被 vue-router 卡住了. 想听听思路. 感觉现在的攻击方法都是朝服务器的, 前端安全领域倒不是很了解.

权限

vue-router

攻击

卡住

25 条回复 • 2020-11-13 10:16:05 +08:00

jatai

2020-11-12 18:02:42 +08:00 via Android

投案自首是你唯一的出路

skrskrskrskr

2020-11-12 18:04:11 +08:00

vue 这种可以直接绕过看界面

linauror

2020-11-12 18:07:25 +08:00

主要靠后端来防范，毕竟数据都是通过后端操作数据库的

shenyu1996

2020-11-12 18:10:38 +08:00

chrome devtool 的 overrides 改 js ？
有 sourcemap 的话可以先还原出源码

liuser666

2020-11-12 18:14:30 +08:00

@skrskrskrskr 怎么绕,求教

liuser666

2020-11-12 18:16:18 +08:00

@linauror 他确实有点不小心,从路由表里搞到了组织架构的 data 和管理面板的 route,但是进不去...

shintendo

2020-11-12 18:18:35 +08:00

拿到前端路由有卵子用，前端本来就在用户完全控制之下的

shintendo

2020-11-12 18:19:33 +08:00

@liuser666 没什么不小心的，前端权限是做体验，不是做安全

liuser666

2020-11-12 18:21:17 +08:00

@shintendo 好的👌,谢谢

gouflv

2020-11-12 18:45:50 +08:00 via iPhone

一个 router 就能把你卡住？楼主还是算了吧

liuser666

2020-11-12 18:48:30 +08:00

@gouflv 没有没有我就是玩玩,不是安全人员.hahah

yhxx

2020-11-12 19:05:49 +08:00

被 vue-router 卡住了是什么意思？
vue-router 的限制逻辑就算绕过去了你也只能看看页面吧，数据和需要权限的操作大概率是没法处理的

drydiy

2020-11-12 19:42:57 +08:00

前端有个毛线的安全可言？？？
前端能做的只是拦住普通用户，做好校验体验。
至于安全，肯定是靠后端啊，放到服务器上的代码才是安全的。浏览器上的代码，能有什么安全。

huijiewei

2020-11-12 19:46:27 +08:00 via iPhone

前端有什么安全可言？

你直接拦截 api 请求搞个 mock 服务

前端还不是随便体验

loading

2020-11-12 20:01:12 +08:00 via Android

你是不是感觉你在前端代码里看到了全部？
很遗憾，那是水面上的冰山而已。

liuser666

2020-11-12 21:17:43 +08:00 via Android

@loading 很遗憾，我觉得你们都没有意识到前端的安全的问题，我通过前端路由拿到了开发者经常用的测试服务器地址、了解了开发逻辑和一系列为了开发方便直接放在接口上数据（不要说你们没做过），尤其是超级管理员账号。
还有，前后端知识我还是了解的，在这个前提下我在想有何奇袭的地方可以考虑，但是你们都没有回答到点子上。