js文件获取的不是很准确,有漏掉的 #9
Comments
|
你好,你反馈的问题我看了。工具与实际网站源码中的js有误差,这个可能是我正则写的不够好,没有100%匹配出来,至于你说的第二个点验证没有反应,你可以在命令运行的终端看有没有请求的报错之类的,而且工具主要针对vue前端 app.* * .js 文件里面的接口信息,常规js文件里面的接口其实是不准确的。如果你在网站f12查看没有发现app. * .js,那么这个未授权访问漏洞的存在概率其实是蛮低的,当然普通js里面的接口并不代表没用,而是我实战那么多次就没有试过用普通js文件里面的接口成功过,普通js文件跟app.**.js 他们两个代表的接口含义基本上是不一样的。具体还要审计js代码,看代码的具体意思。谢谢反馈~ 后续我看看能不能改改验证的功能,问题有点多,可以主要看左边的js文件爬取和接口爬取功能。 |
|
好的,谢谢回复,会持续关注
Wang ***@***.***> 于2023年8月16日周三 14:55写道:
…
你好,你反馈的问题我看了。工具与实际网站源码中的js有误差,这个可能是我正则写的不够好,没有100%匹配出来,至于你说的第二个点验证没有反应,你可以在命令运行的终端看有没有请求的报错之类的,而且工具主要针对vue前端app.
*.js文件里面的接口信息,常规js文件里面的接口其实是不准确的。如果你在网站f12查看没有发现app.*.js,那么这个未授权访问漏洞的存在概率其实是蛮低的,当然普通js里面的接口并不代表没用,而是我实战那么多次就没有试过用普通js文件里面的接口成功过,普通js文件跟app.***.js他们两个代表的接口含义基本上是不一样的。具体还要审计js代码,看代码的具体意思。谢谢反馈~
后续我看看能不能改改验证的功能,问题有点多,可以主要看左边的js文件爬取和接口爬取功能。
—
Reply to this email directly, view it on GitHub
<#9 (comment)>,
or unsubscribe
<https://github.com/notifications/unsubscribe-auth/AVOOPI2KEKEJXHPJIEIWCGDXVRVHVANCNFSM6AAAAAA3QYPPS4>
.
You are receiving this because you authored the thread.Message ID:
***@***.***>
|
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
这是工具获取到的
这是网站源码中的js,
而且点验证也没有反应
f我不知道是我本地的原因,还是工具的原因
The text was updated successfully, but these errors were encountered: