专栏名称: 哈拉少安全小队
专注安全研究,漏洞复现,代码审计,python poc/exp脚本开发,经常更新一些最新的漏洞复现,漏洞分析文章,以及脱敏的实战文章。
今天看啥  ›  专栏  ›  哈拉少安全小队

应该如何寻找参数的蛛丝马迹?

哈拉少安全小队  · 公众号  ·  · 2024-10-16 10:02
    

文章预览

1.前言 在本系列的上一篇文章中,我们已经简单介绍了攻击者需要关心 JS 中的哪些信息,其中最核心的肯定就是从 JS 中提取出来的各种接口了。但是我们前面也提到过,提取出来接口,将其与后端地址拼接测活,这都不是我们测试的终点,我们最终肯定是要尝试正常调用这个接口的功能。可是,在很多情况下,不给接口提供参数,接口都是无法正常工作的。因此,我们对接口的测试一个绕不开的问题就是——我们应该如何寻找参数的蛛丝马迹? 本文就来分享一下笔者在日常测试过程中的一些常用技巧,希望能帮助师傅们快速寻找到接口对应的参数,从而愉快地测试接口。 2.找不到参数,到底有多痛苦? 开始之前还是先来看看找不到参数是怎样的情况。我们来模拟一下平时测试的流程。我们找到了一个接口,先以 GET 去访问。 一般会提示 405 ,或 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览