拿到前端路由了以后应该怎么攻击?

2020-11-12 17:58:35 +08:00
 liuser666

包括各种权限管理的路由,但是没权限进入,被 vue-router 卡住了. 想听听思路. 感觉现在的攻击方法都是朝服务器的, 前端安全领域倒不是很了解.

2972 次点击
所在节点    问与答
25 条回复
jatai
2020-11-12 18:02:42 +08:00
投案自首是你唯一的出路
skrskrskrskr
2020-11-12 18:04:11 +08:00
vue 这种可以直接绕过看界面
linauror
2020-11-12 18:07:25 +08:00
主要靠后端来防范,毕竟数据都是通过后端操作数据库的
shenyu1996
2020-11-12 18:10:38 +08:00
chrome devtool 的 overrides 改 js ?
有 sourcemap 的话可以先还原出源码
liuser666
2020-11-12 18:14:30 +08:00
@skrskrskrskr 怎么绕,求教
liuser666
2020-11-12 18:16:18 +08:00
@linauror 他确实有点不小心,从路由表里搞到了组织架构的 data 和管理面板的 route,但是进不去...
shintendo
2020-11-12 18:18:35 +08:00
拿到前端路由有卵子用,前端本来就在用户完全控制之下的
shintendo
2020-11-12 18:19:33 +08:00
@liuser666 没什么不小心的,前端权限是做体验,不是做安全
liuser666
2020-11-12 18:21:17 +08:00
@shintendo 好的👌,谢谢
gouflv
2020-11-12 18:45:50 +08:00
一个 router 就能把你卡住?楼主还是算了吧
liuser666
2020-11-12 18:48:30 +08:00
@gouflv 没有没有我就是玩玩,不是安全人员.hahah
yhxx
2020-11-12 19:05:49 +08:00
被 vue-router 卡住了是什么意思?
vue-router 的限制逻辑就算绕过去了你也只能看看页面吧,数据和需要权限的操作大概率是没法处理的
drydiy
2020-11-12 19:42:57 +08:00
前端有个毛线的安全可言???
前端能做的只是拦住普通用户,做好校验体验。
至于安全,肯定是靠后端啊,放到服务器上的代码才是安全的。浏览器上的代码,能有什么安全。
huijiewei
2020-11-12 19:46:27 +08:00
前端有什么安全可言?

你直接拦截 api 请求搞个 mock 服务

前端还不是随便体验
loading
2020-11-12 20:01:12 +08:00
你是不是感觉你在前端代码里看到了全部?
很遗憾,那是水面上的冰山而已。
liuser666
2020-11-12 21:17:43 +08:00
@loading 很遗憾,我觉得你们都没有意识到前端的安全的问题,我通过前端路由拿到了开发者经常用的测试服务器地址、了解了开发逻辑和一系列为了开发方便直接放在接口上数据(不要说你们没做过),尤其是超级管理员账号。
还有,前后端知识我还是了解的,在这个前提下我在想有何奇袭的地方可以考虑,但是你们都没有回答到点子上。
hcymk2
2020-11-12 21:21:46 +08:00
@liuser666
你说的那些问题难道不都是后端造成的么?
liuser666
2020-11-12 21:25:52 +08:00
@hcymk2 前后端分那么开干嘛呢?虽然现在前后端开发比较盛行,以前又不是,我也没说不能从前端入手找后端漏洞……
dddd1919
2020-11-12 22:01:25 +08:00
1.浏览器右键打开检查工具
2.找到 header 或底部 scripts 处引用 vue-router 的元素
3.右键 - 编辑 html 元素
4.删除这个引用 vue-router 的这段 html
5.回车完成编辑

然后这个页面就没有 vue 的限制了,你可以大摇大摆的攻击他们
BoarBoar
2020-11-12 22:13:39 +08:00
@liuser666 #16 我们测试服不联外网,开发逻辑我不知道前端要处理啥业务逻辑,开发留的接口都没前端页面直接 postman 看数据,至于超级管理员账号我更是不知道为啥前端代码里会有。
每一个合格的后端都知道一切前端请求都是不可信的,开始开发就做好了前端被改代码的准备,我是想不到能怎么找。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/724535

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX