js泄露指纹信息
github地址、邮箱、power by、
js泄露接口信息
有增改查的页面没有删,可以尝试在js中找删除接口
根据功能的关键字去js里搜索
js寻找接口
type:“post”
type:“get”
ashx
ashx?
url:"
url:’
path:"
path:’
action?
action
data(POST请求时会有data)
params(GET请求时有)
例如获取到/user/getMobileByid接口,应该如何猜测正确传参是什么
首先根据接口名判断,这里需要传入的参数大概率是一个用户id,方法如下
第一种:看http history
搜/user/getMobileByid,也就是历史可能抓过这个包,自然就携带了正常的传参
第二种:历史的其他数据包
例如/user/getNameByid这种类似的接口,或者跟用户有关的接口,里面大概率会存在用户id参数,同一套系统的用户id参数基本相同,所以这也是一个办法
第三种:翻找js
通过f12的network,刷新当前页面并检索关键字,例如getMobileByid,例如/user这种关键字,有时会泄露出对应接口的传参方式
第四种:Fuzz
前面几种方式都无效的话,根据系统的参数命名构造字典,批量测试即可
 与 torch.no_grad() PyTorch 中的区别与应用)
