JS中的敏感信息
敏感信息可能包括(但不限于):私有API密钥(例如,无限制的Google地图API密钥)、前后端交互的方法(加解密、传参等)、敏感路由(例如,隐藏的管理页面或功能的路由)甚至凭据。这些敏感信息可能从前端JavaScript代码中泄露。
01 敏感路由
在某些情况下,测试者可能从JavaScript代码中找到敏感路由,例如链接到内部(内网地址)或隐藏管理页面的路径。
如下案例中泄露ueditor配置文件地址
访问配置文件可以获取详细请求地址,造成ueditor的未授权文件上传
同样是一个未授权文件上传案例,js中泄露了请求路径和请求头,造成文件上传
可以上传html后缀文件,造成xss漏洞
此外还有未授权的敏感路由的案例,如下js中泄露网页地址
直接请求访问可以获取内部操作手册等内容
02 凭证泄露
当发现API密钥时,测试人员可以检查API密钥的限制是否按服务、IP、HTTP引用来源、应用、SDK等进行了设置。
例如,如果测试人员找到了一个Google地图API密钥,他们可以检查这个API密钥是否按IP进行了限制,或者是否仅限于Google地图APIs使用。如果Google API密钥仅限于Google地图APIs使用,攻击者仍然可以利用该API密钥查询未受限制的Google地图APIs,而这将导致应用所有者必须为此付费。
这意味着即使API密钥在某个特定服务内受到限制,如果它能够访问其他未加限制的服务,那么它仍可能被滥用,造成经济损失或数据泄露。测试人员需要确保API密钥的使用范围被适当地限定,以防止未经授权的访问和使用。
例如:
<script type="application/json">
...{"GOOGLE_MAP_API_KEY":"AIzaSyDUEBnKgwiqMNpDplT6ozE4Z0XxuAbqDi4", "RECAPTCHA_KEY":"6LcPscEUiAAAAHOwwM3fGvIx9rsPYUq62uRhGjJ0"}
...
</script>
除了谷歌地图,国内的百度、腾讯、高德等地图泄露API key也可以进行利用。
云服务器AK、SK
03 敏感信息泄露
js中还会泄露敏感信息,一般以身份证这类居多,如下示例中就泄露了身份证、学号等信息
解码Unicode可以看到中文
亦或是直接在JS中泄露身份证信息的,泄露驾驶证号码等于是泄露身份证号
04 加解密方法泄露
比如输入账号密码,抓包却发现密码被加密了,这个时候不要放弃,可以去js中搜索关键字password进行断点追踪。追踪handleLogin方法
输入账号密码,可见此处被加密了
查看加密方法,密码为明文+_IntSig字符串,之后进行md5加密
这里追踪a()方法,验证调用的就是md5加密
测试输入同样的加密方法,得到结果和js中所看到的一致
2、安全渗透感知大家族
当个成功的漏洞猎人不光是技术要硬,还得有靠谱的指导和后援。Code4th安全团队特地给大家搭了个资源丰富的永久内部学习社区——安全渗透感知大家族。在这里,你能获得:
从零到大佬的漏洞挖掘全教程:课程涵盖基础概念到进阶技巧,适用各级水平,无论你是新手小白还是资深大佬,都能找到适合自己的成长路径。
硬核实战案例分享:团队内部的资深师傅们会定期分享真实漏洞挖掘案例,带你亲身感受他们的操作手法和思维套路,保证受益匪浅。
活跃的互动社区:加入帮会后,你就是我们帮会的小伙伴!群内遇到师傅别慌张,大胆提问就有解答,大家一起讨论分享经验,互相学习,团队正缺像你这样的人才!
资源库持续更新:我们会不断挖掘和整理最新的安全资讯、工具和资料,保证你能随时接触到最前沿的知识,跟上时代的节奏!保持一礼拜一更新的频率,为师傅们献上最好的资源!
01 帮会内容脑图
02 帮会特色
专属赚钱项目:内部项目等你接,一边赚着钱,一边实现“立刻回血”的美好梦想;
网安人脉圈:这里都是满满实战经验的高手,加入就能攒下实打实的项目资源和人脉,妥妥的“金矿”;
小白挖洞入门:零基础?没关系!我们有详细的挖洞教程手把手带你操作,妥妥从小白变高手;
真实漏洞案例:上百种真实漏洞赏金案例,理论结合实战,看完绝对让你技能飞升;
挖洞小巧思:各种实战小技巧在这儿等着你,帮你快速打开挖洞思路,避免那些常见的小坑,让你挖得更准、更快;
交流群:遇到问题直接问,团队的师傅们都在线等着给你答疑解惑。
03 部分资源展示
1、漏洞poc合集
2、从0到1的挖洞教程
3、SRC挖掘案例
4、代码审计
5、挖洞技巧
6、其他工具等资料
04 帮会资源与服务
1、帮会抽奖活动
节假日抽奖活动,每位帮会成员都可参与抽奖。25年新春抽奖链接如下,截止日期为2025年1月24日,师傅们快来抽奖吧~(抽奖口令会发布在帮会内部群中)
2、帮会内部社群
3、帮会技术力量保证
帮主:chobits02
资深安全专家,拥有丰富的SRC挖掘、应急响应、Java后端开发、网络攻防等方面经验。
拥有途虎SRC月排名前3,漏洞银行月排名前3等各大众测SRC前列排名。
团队成就
2024年第四届长城杯网络安全大赛-暨京津冀网络安全技能竞赛团队荣获“网络安全卫士”称号
2024年 - 漏洞银行 - 团队年排行第7
2024年 - 漏洞银行互联网贡献榜(通用漏洞) - 11月团队个人排行第1
2024年 - 喜马拉雅SRC - 团队个人年排行第1
05 加入方式
迎新春活动价,即刻折扣25%!
活动价59.9/永久
2月份后将恢复79.9/永久
如何加入帮会?
PC端可进入链接:https://wiki.freebuf.com/societyDetail?society_id=184
也可直接微信扫码支付↓↓
END
◀ FreeBuf知识大陆APP ▶
苹果用户至App Store下载
安卓用户各大应用商城均可下载
如有问题请联系vivi微信:Erfubreef121
