漏洞挖掘 | 某系统中少见的前端登录校验

0 前言

我也是第一次碰到前端登录校验的站点，那所谓前端校验，就是不走后端，这种情况大概率会在前端存着登录的账号和密码，除此之外，一些验证码也可能会在前端校验。

1 测试

如下图，点普通的功能点均显示服务器错误。

img

我往下滑，挨个点啊点，一直点到这个功能点

img

诶他自动给我跳了一个登录窗口

img

这不就有的测了嘛，那第一步肯定要跑一下弱口令是吧。正常开启bp抓包，没有抓到?直接弹窗告诉我密码错误？之前看过一篇类似的文章，已经死去的记忆开始攻击我。

img

好打开前端源码，开始检索，username，passwd，账号，密码，诶pwd检索到了。直接拿到账号密码

img

登录成功，之前看不了的全都能看了

img

2 总结

果然还是一定要多看文章，说不定哪天就碰到了一个类似的功能点，然后非常简单的就有了产出。如果没有见过这种，大概率就错过了。

无偿获取网络安全优质学习资料与干货教程

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。