知識(shí)點(diǎn)：

1、原生JS&開發(fā)框架-安全條件

2、常見安全問題-前端驗(yàn)證&未授權(quán)

詳細(xì)點(diǎn)：

1、什么是JS滲透測(cè)試？

在JavaScript中也存在變量和函數(shù)，當(dāng)存在可控變量及函數(shù)調(diào)用即可參數(shù)漏洞

2、流行的Js框架有哪些？

3、如何判定js開發(fā)應(yīng)用？

??????? 插件wappalyzer

??????? 源代碼簡(jiǎn)短

??????? 引入多個(gè)js文件

??????? 一般有/static/js/app.js等順序的js文件

??????? cookie中有connect.sid

4、如何獲取更多的js文件

??????? JsFinder

??????? Packer-Fuzzer

??????? 掃描器后綴替換字典

5、如何快速獲取價(jià)值代碼

??????? method: "get"

??????? http.get("

??????? method: "post"

??????? http.post("

??????? $.ajax

??????? service.httppost

??????? service.httpget

演示案例：

安全條件-可控變量&特定函數(shù)

開發(fā)框架-Vulhub-Node.js安全

真實(shí)應(yīng)用-APP應(yīng)用直接重置密碼

真實(shí)應(yīng)用-違法彩彩文件上傳安全