应该如何寻找参数的蛛丝马迹？

文章预览

1.前言 在本系列的上一篇文章中，我们已经简单介绍了攻击者需要关心 JS 中的哪些信息，其中最核心的肯定就是从 JS 中提取出来的各种接口了。但是我们前面也提到过，提取出来接口，将其与后端地址拼接测活，这都不是我们测试的终点，我们最终肯定是要尝试正常调用这个接口的功能。可是，在很多情况下，不给接口提供参数，接口都是无法正常工作的。因此，我们对接口的测试一个绕不开的问题就是——我们应该如何寻找参数的蛛丝马迹？ 本文就来分享一下笔者在日常测试过程中的一些常用技巧，希望能帮助师傅们快速寻找到接口对应的参数，从而愉快地测试接口。 2.找不到参数，到底有多痛苦？ 开始之前还是先来看看找不到参数是怎样的情况。我们来模拟一下平时测试的流程。我们找到了一个接口，先以 GET 去访问。 一般会提示 405 ，或 ………………………………