参考地址:https://www.freebuf.com/articles/web/214179.html
信息收集js文件获取的信息
通过审计js文件源代码能获取到的信息:敏感信息、业务逻辑、加密算法、Ajax请求。
敏感信息:
其实重要信息主要是从javaScript的代码中获取的,每一部分代码的功能,有可能代码中还夹杂着配置的账号密码,
还有重要的后台信息,加密方式,使用json数据的格式。
业务逻辑:
请求响应代码
加密算法:
比如注册或者登录页面,使用的哪些js文件,会从业务逻辑中发现系统的使用的加密防止,除非加密解密方式放到
后台运行。为了达到前后端分离一般很少有系统这样做。
Ajax请求:
想要看其中的道道,一定要找些js中%config%.js命令的文件,其中会给的非常明显。
js代码包含真实的ip地址,属于信息泄露。建议使用相对路径进行规避。