SRC漏洞挖掘学习

JS漏洞挖掘

实战中阅读JS的作用

1. JS中存在插件名字，根据插件找到相应的漏洞直接利用

   • 某些公司直接利用第三方存在漏洞的的JS代码

   

2. JS中存在一些URL链接，根据URL链接找到相应的页面进一步测试和利用

3. JS中存在一个子域名，可以直接访问子域名

4. JS中的一些注释可能泄露以账号密码或者其他的

浏览器控制台使用技巧及方法

JS断点技巧以及Hook注入

找到关键代码，打上断点，步进查看加密过程

Python和JS结合解决加密难题

实战MD5加密逆向加密参数还原

FUZZ（模糊测试）

常见的FUZZ姿势、工具及字典

未知目录，信息泄露，备份文件等漏洞的FUZZ

用bp，先FUZZ文件，再FUZZ目录

需要拥有一个顺手的文件名字典和目录字典

弱口令，隐藏变量，未知参数的FUZZ