内容来自bili白帽大法师白帽大法师的个人空间-白帽大法师个人主页-哔哩哔哩视频 (bilibili.com)

四种方式

目录

1、JS中存在插件名字，根据插件找到相应的漏洞直接利用

2、JS中存在一些URL链接，根据URL链接找到相应的页面进一步测试和利用

3、JS中存在一个子域名，可以直接访问子域名

4、JS中的一些注释可能泄露以账号密码或者其他的

---

在漏洞挖掘中的重要地位
是 Web页面的脚本语言，主要用来向HTML页面添加交互行为，有以下几个作用javascript
1、嵌入动态文本于HTML页面
2、对浏览器事件做出响应
3、读写HTML元素
4、在数据被提交到服务器之前验证数据
5、检测访客的浏览器信息

JS在漏洞挖掘中的重要地位
在实战的漏洞挖掘中阅读JS有以下几个作用:
 

1、JS中存在插件名字，根据插件找到相应的漏洞直接利用

有网站的f12查找的js文件中，发现这个js框架是引用别人的公司的，且对方公司域名和框架名称也显示出来了，在网上搜索，发现这个这个框架之前出现了漏洞，然后利用，攻击成功

2、JS中存在一些URL链接，根据URL链接找到相应的页面进一步测试和利用

3、JS中存在一个子域名，可以直接访问子域名

4、JS中的一些注释可能泄露以账号密码或者其他的