WEB攻防-JavaScript项目

JavaScript特点

想必大家都比较清楚什么是JavaScript语言，当遇见一个网页时，我们只需要按下F12，如果看到了什么app.js，这些js文件就是JavaScript语言开发的，JS语言作为比较常见的前端开发语言，他的一个很重要的特性就是代码的可读性，它不像php，java等开发语言是只有服务器才知道代码是怎样的，JS语言通过F12可以在web端查看到源代码，等同于白盒测试，我们可以更快的发现可控变量，方便我们寻找相关漏洞

如何判断是否为JS代码开发？

首先可以使用插件 wappalyzer，如下图所示

我们的wappalyzer可以很容易的识别相关网站使用了JS库，进而可以判断这个网站是使用JavaScript进行编写的

第二种方法是看其源代码是否简单，一般使用JavaScript的网站应用的源代码都很简短，因为JavaScript可以引用已经写好的一些js文件，使得自己编写的代码就很简短，如下图所示

我们可以看到，基本上很多的代码都被封装在了js文件中，用<script src="/xxx/xxx/xxx.js">的形式进行引用

最后一种方法就是抓包，看它的Cookie中是否有connect.sid，这也是JS开发的最基本的特征

我们也可以使用FOFA查找相关关键字去发现使用JS开发的应用，进而可以实现通杀，如下图所示

JS框架

我们日常比较常见的JS框架有vue.js和jQuery

Vue.js是一个开源的渐进式JavaScript框架，用于开发交互Web用户界面和单页应用程序，通过使用HTML、CSS和JavaScript来构建应用程序界面。Vue.js的目标是通过尽可能简单的API提供反应式数据绑定和可组合视图组件的好处

jQuery是用JavaScript编写的，该库是跨平台和跨浏览器的。这意味着可以开发可在任何操作系统或浏览器上使用的应用程序。jQuery设计的宗旨是”写更少的代码，做更多的事情“，jQuery库封装了JavaScript常用的功能代码，提供一种简便的JavaScript设计模式，优化HTML文档操作、事件处理、动画设计和Ajax交互