返回文章列表

我们将定期在这里发布文章

前后端分离架构如何做安全测试?

文章编号:测试经验

文章日期:2022-04-01


FSRC

FSRCsdl


1


html

jsonajax


2


HTML


APPwebappwebapp



html

json

便


3token


session

便session


token


tokentokentokentoken便


JWTtokenJWT


4JWT


Json web token header.payload.signature

headerpayloadbase64URLheaderpayload

secret使 Header  HMAC SHA256

 HeaderPayloadSignature  . 


JWTJWT

  • Payload

  • URL使https

  • XSS

  • token


5


使使Laravel

XSS

   

Laravel使BladeLaravel

resources/viewswelcome.blade.php $data  view() 

web.php
Route::get('/', function () {    return view('welcome', [name=>$name]);});welcome.blade.php
Hello, {{ $name }}

{{ }} php htmlentites XSS

SQL

   

LaravelEloquent ORM()

Eloquent

laravelPDOSQL

CSRF

   

Laravel  POST _token  POST  CSRF 



laravelXSS/CSRF/SQL


6



   

使JWTcsrf使X-Access-Token

访url404

X-Access-Token


hackbar


  • admin退访访

  • CSRFtoken



   




CVE

   

使使


remember_meshiroCVE使poc

  • Shiro RememberMe 1.2.4 RCECVE-2016-4437|Shiro-550

  • Shiro Padding OracleShiro-721



  • wappalyzer使



   

JS

jssmsregist


便使 GruntGulpWebpack 使JS  Source Map

webpack.map


  • chromesourcectrl+shift+Fpasswordsecret

  • webpack


7

CVE

JS使

8


Poc使


9


(0x0d)

https://xz.aliyun.com/t/192

BladeXSS(luyaran)

https://blog.csdn.net/luyaran/article/details/53463296

()

https://www.cnblogs.com/qingmiaokeji/p/13026208.html


https://jwt.io/




FSRC
security.focuschina.com