首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    不容忽视JS敏感信息泄露

    JS文件泄露后台管理敏感路径及API 此类问题主要存在于后台登陆页面以及类似网页内引入的JS文件中。 在企业渗透测试时如果遇到后台,在SQL注入或者是路径爆破都试过,但是仍然无法进入后台时。...根据此类漏洞,说不定登陆页面下引入的js文件暴露的后台路径会成为突破口。...下面这个某大型互联网服务提供商的房产后台页面引入的js文件泄露后台接口信息,就是非常典型的例子: (信息泄露源是房产管理登陆后台页面下的common.js) (js文件中的urlMap对象内容完整的泄露了后台所有功能实现的...(知道首页js内直接输出受保护的BDUSS) 比如这个由于百度知道crossdomain配置不当,再结合知道页面内的js直接输出用户的BDUSS,成功绕过了http-only的保护 3....”等关键词会帮助快速发觉此类问题,不过对于相对复杂的情况还是需要沉下心将每一个js耐心的看过去。

    4K10

    URL大小写问题

    Application/Home/Controller/indexController.class.php 那么问题来了, 如果是在windows环境下,1和2其实是一个文件,因为windows是不区分大小写的...但是如果是linux环境下,1和2就是两个文件,因为linux是区分大小写的。 所以如果我们的主机的是linux服务器的话,那么url的大小写一定是要注意的。...程序分离出uel1的mvc参数为Home,Inde和index,url2的mvc参数为Home,index和index,现在我们还要兼容Windows和linux服务器,所以程序配置文件会有一个参数即大小写不敏感...’URL_CASE_INSENSITIVE’ ,检测如果此参数为true,即大小写不敏感,现在要想使得在linux上和windows大小写不明感,做以下处理: 把mvc参数都小写化,然后分别把各个参数首字母大写化...,模块名两个首字母大写,通过加下划线的方式来访问, http://www.51php.com/index.php/user_type/add url中应该写成user_type这样的形式,那么一旦开启大小写不敏感

    2.9K30
    领券