网络安全第14集

前言：

小迪安全14集，这集重点

内容：

0、什么是js渗透测试？

        在javascript中也存在变量和函数，存在可控变量和函数就有可能存在在漏洞，js开发的web应用和php、java开发的区别是，js能看得到的源代码，php看不到，

        但是风险就是未授权访问、配置信息泄露（加密算法、key秘钥等），源代码看得到，存在更多的url泄露，从而可能会出现未授权访问，从url，

前提：web应用可以采用前端语言或后端语言开发

前端语言：javascript（JS）和JS框架

后端语言：php、java、python、.NET

举例：

zblog：核心功能采用pphp语言去传输接受

vue.js：核心功能采用框架语法（JS）传输接受

5、如何快速获取价值信息

src=

path=

method:"get"

http.get("

method:"post"

http.post("

$.ajax

http://service.httppost

http://service.httpget

#前端架构-手工搜索分析

漏洞实战价值，如何利用

手工

1、利用vue.js，这个app（）

        鹰图搜索，app.name="Vue.js"

2、打开网站全局搜索，搜索价值信息，

3、一个个看有没有信息泄露，等一些价值信息

半自动

配合burp，下载hae插件，看那个变红了，就查看是否有信息泄露的信息