包括各种权限管理的路由,但是没权限进入,被 vue-router 卡住了. 想听听思路. 感觉现在的攻击方法都是朝服务器的, 前端安全领域倒不是很了解.
This topic created in 2010 days ago, the information mentioned may be changed or developed.
25 replies • 2020-11-13 10:16:05 +08:00
 |
1
jatai Nov 12, 2020 via Android  4
投案自首是你唯一的出路
|
 |
2
skrskrskrskr Nov 12, 2020
vue 这种可以直接绕过看界面
|
 |
3
linauror Nov 12, 2020
主要靠后端来防范,毕竟数据都是通过后端操作数据库的
|
 |
4
shenyu1996 Nov 12, 2020
chrome devtool 的 overrides 改 js ?
有 sourcemap 的话可以先还原出源码 |
 |
5
liuser666 OP @skrskrskrskr 怎么绕,求教
|
 |
7
shintendo Nov 12, 2020
拿到前端路由有卵子用,前端本来就在用户完全控制之下的
|
 |
10
gouflv Nov 12, 2020 via iPhone
一个 router 就能把你卡住?楼主还是算了吧
|
 |
12
yhxx Nov 12, 2020
被 vue-router 卡住了是什么意思?
vue-router 的限制逻辑就算绕过去了你也只能看看页面吧,数据和需要权限的操作大概率是没法处理的 |
 |
13
drydiy Nov 12, 2020
前端有个毛线的安全可言???
前端能做的只是拦住普通用户,做好校验体验。 至于安全,肯定是靠后端啊,放到服务器上的代码才是安全的。浏览器上的代码,能有什么安全。 |
 |
14
huijiewei Nov 12, 2020 via iPhone
前端有什么安全可言?
你直接拦截 api 请求搞个 mock 服务 前端还不是随便体验 |
 |
15
loading Nov 12, 2020 via Android 3
你是不是感觉你在前端代码里看到了全部?
很遗憾,那是水面上的冰山而已。 |
|
16
liuser666 OP @loading 很遗憾,我觉得你们都没有意识到前端的安全的问题,我通过前端路由拿到了开发者经常用的测试服务器地址、了解了开发逻辑和一系列为了开发方便直接放在接口上数据(不要说你们没做过),尤其是超级管理员账号。
还有,前后端知识我还是了解的,在这个前提下我在想有何奇袭的地方可以考虑,但是你们都没有回答到点子上。 |
 |
19
dddd1919 Nov 12, 2020
1.浏览器右键打开检查工具
2.找到 header 或底部 scripts 处引用 vue-router 的元素 3.右键 - 编辑 html 元素 4.删除这个引用 vue-router 的这段 html 5.回车完成编辑 然后这个页面就没有 vue 的限制了,你可以大摇大摆的攻击他们 |
 |
20
BoarBoar Nov 12, 2020
@liuser666 #16 我们测试服不联外网,开发逻辑我不知道前端要处理啥业务逻辑,开发留的接口都没前端页面直接 postman 看数据,至于超级管理员账号我更是不知道为啥前端代码里会有。
每一个合格的后端都知道一切前端请求都是不可信的,开始开发就做好了前端被改代码的准备,我是想不到能怎么找。 |
 |
21
Ptu2sha Nov 12, 2020
。。。你不会以为那种抽奖都是前端生成结果的把
|
 |
22
EminemW Nov 13, 2020
测试服务器地址为啥会出现前端代码里? 不用 nginx 做转发么。。
|
 |
23
black11black Nov 13, 2020 via Android
@liuser666 开发服务器唯一加密方式是把 ip 藏起来?醉人心脾
|
 |
24
mthai Nov 13, 2020
年轻人,我劝你耗子尾汁
|
 |
25
iwh718 Nov 13, 2020 via iPhone
这有啥用 难道后端会傻乎乎的不鉴权直接给数据 应该进入了也是空白
|
Select Language