包括各种权限管理的路由,但是没权限进入,被 vue-router 卡住了. 想听听思路. 感觉现在的攻击方法都是朝服务器的, 前端安全领域倒不是很了解.
div class="outdated">This topic created in 2030 days ago, the information mentioned may be changed or developed.
25 replies 2020-11-13 10:16:05 +08:00
 | 1 jatai Nov 12, 2020 via Android  4 投案自首是你唯一的出路 |
 | 2 skrskrskrskr Nov 12, 2020 vue 这种可以直接绕过看界面 |
 | 3 linauror Nov 12, 2020 主要靠后端来防范,毕竟数据都是通过后端操作数据库的 |
 | 4 shenyu1996 Nov 12, 2020 chrome devtool 的 overrides 改 js ? 有 sourcemap 的话可以先还原出源码 |
 | 5 liuser666 OP @skrskrskrskr 怎么绕,求教 |
 | 7 shintendo Nov 12, 2020 拿到前端路由有卵子用,前端本来就在用户完全控制之下的 |
 | 10 gouflv Nov 12, 2020 via iPhone 一个 router 就能把你卡住?楼主还是算了吧 |
 | 12 yhxx Nov 12, 2020 被 vue-router 卡住了是什么意思? vue-router 的限制逻辑就算绕过去了你也只能看看页面吧,数据和需要权限的操作大概率是没法处理的 |
 | 13 drydiy Nov 12, 2020 前端有个毛线的安全可言??? 前端能做的只是拦住普通用户,做好校验体验。 至于安全,肯定是靠后端啊,放到服务器上的代码才是安全的。浏览器上的代码,能有什么安全。 |
 | 14 huijiewei Nov 12, 2020 via iPhone 前端有什么安全可言? 你直接拦截 api 请求搞个 mock 服务 前端还不是随便体验 |
 | 15 |
| 16 liuser666 OP @loading 很遗憾,我觉得你们都没有意识到前端的安全的问题,我通过前端路由拿到了开发者经常用的测试服务器地址、了解了开发逻辑和一系列为了开发方便直接放在接口上数据(不要说你们没做过),尤其是超级管理员账号。 还有,前后端知识我还是了解的,在这个前提下我在想有何奇袭的地方可以考虑,但是你们都没有回答到点子上。 |
 | 19 dddd1919 Nov 12, 2020 1.浏览器右键打开检查工具 2.找到 header 或底部 scripts 处引用 vue-router 的元素 3.右键 - 编辑 html 元素 4.删除这个引用 vue-router 的这段 html 5.回车完成编辑 然后这个页面就没有 vue 的限制了,你可以大摇大摆的攻击他们 |
 | 20 BoarBoar Nov 12, 2020 @liuser666 #16 我们测试服不联外网,开发逻辑我不知道前端要处理啥业务逻辑,开发留的接口都没前端页面直接 postman 看数据,至于超级管理员账号我更是不知道为啥前端代码里会有。 每一个合格的后端都知道一切前端请求都是不可信的,开始开发就做好了前端被改代码的准备,我是想不到能怎么找。 |
 | 21 Ptu2sha Nov 12, 2020 。。。你不会以为那种抽奖都是前端生成结果的把 |
 | 22 EminemW Nov 13, 2020 测试服务器地址为啥会出现前端代码里? 不用 nginx 做转发么。。 |
 | 23 black11black Nov 13, 2020 via Android @liuser666 开发服务器唯一加密方式是把 ip 藏起来?醉人心脾 |
 | 24 mthai Nov 13, 2020 年轻人,我劝你耗子尾汁 |
 | 25 iwh718 Nov 13, 2020 via iPhone 这有啥用 难道后端会傻乎乎的不鉴权直接给数据 应该进入了也是空白 |
Select Language