包括各种权限管理的路由,但是没权限进入,被 vue-router 卡住了. 想听听思路. 感觉现在的攻击方法都是朝服务器的, 前端安全领域倒不是很了解.
1
jatai 2020-11-12 18:02:42 +08:00 via Android 4
投案自首是你唯一的出路
|
2
skrskrskrskr 2020-11-12 18:04:11 +08:00
vue 这种可以直接绕过看界面
|
3
linauror 2020-11-12 18:07:25 +08:00
主要靠后端来防范,毕竟数据都是通过后端操作数据库的
|
4
shenyu1996 2020-11-12 18:10:38 +08:00
chrome devtool 的 overrides 改 js ?
有 sourcemap 的话可以先还原出源码 |
5
liuser666 OP @skrskrskrskr 怎么绕,求教
|
6
liuser666 OP @linauror 他确实有点不小心,从路由表里搞到了组织架构的 data 和管理面板的 route,但是进不去...
|
7
shintendo 2020-11-12 18:18:35 +08:00
拿到前端路由有卵子用,前端本来就在用户完全控制之下的
|
10
gouflv 2020-11-12 18:45:50 +08:00 via iPhone
一个 router 就能把你卡住?楼主还是算了吧
|
12
yhxx 2020-11-12 19:05:49 +08:00
被 vue-router 卡住了是什么意思?
vue-router 的限制逻辑就算绕过去了你也只能看看页面吧,数据和需要权限的操作大概率是没法处理的 |
13
drydiy 2020-11-12 19:42:57 +08:00
前端有个毛线的安全可言???
前端能做的只是拦住普通用户,做好校验体验。 至于安全,肯定是靠后端啊,放到服务器上的代码才是安全的。浏览器上的代码,能有什么安全。 |
14
huijiewei 2020-11-12 19:46:27 +08:00 via iPhone
前端有什么安全可言?
你直接拦截 api 请求搞个 mock 服务 前端还不是随便体验 |
15
loading 2020-11-12 20:01:12 +08:00 via Android 3
你是不是感觉你在前端代码里看到了全部?
很遗憾,那是水面上的冰山而已。 |
16
liuser666 OP @loading 很遗憾,我觉得你们都没有意识到前端的安全的问题,我通过前端路由拿到了开发者经常用的测试服务器地址、了解了开发逻辑和一系列为了开发方便直接放在接口上数据(不要说你们没做过),尤其是超级管理员账号。
还有,前后端知识我还是了解的,在这个前提下我在想有何奇袭的地方可以考虑,但是你们都没有回答到点子上。 |
18
liuser666 OP @hcymk2 前后端分那么开干嘛呢?虽然现在前后端开发比较盛行,以前又不是,我也没说不能从前端入手找后端漏洞……
|
19
dddd1919 2020-11-12 22:01:25 +08:00
1.浏览器右键打开检查工具
2.找到 header 或底部 scripts 处引用 vue-router 的元素 3.右键 - 编辑 html 元素 4.删除这个引用 vue-router 的这段 html 5.回车完成编辑 然后这个页面就没有 vue 的限制了,你可以大摇大摆的攻击他们 |
20
BoarBoar 2020-11-12 22:13:39 +08:00
@liuser666 #16 我们测试服不联外网,开发逻辑我不知道前端要处理啥业务逻辑,开发留的接口都没前端页面直接 postman 看数据,至于超级管理员账号我更是不知道为啥前端代码里会有。
每一个合格的后端都知道一切前端请求都是不可信的,开始开发就做好了前端被改代码的准备,我是想不到能怎么找。 |
21
Ptu2sha 2020-11-12 22:34:18 +08:00
。。。你不会以为那种抽奖都是前端生成结果的把
|
22
EminemW 2020-11-13 00:55:07 +08:00
测试服务器地址为啥会出现前端代码里? 不用 nginx 做转发么。。
|
23
black11black 2020-11-13 02:12:09 +08:00 via Android
@liuser666 开发服务器唯一加密方式是把 ip 藏起来?醉人心脾
|
24
leeshuai 2020-11-13 09:49:06 +08:00
年轻人,我劝你耗子尾汁
|
25
iwh718 2020-11-13 10:16:05 +08:00 via iPhone
这有啥用 难道后端会傻乎乎的不鉴权直接给数据 应该进入了也是空白
|