文章总结： 本文记录了一次Vue网站渗透测试过程，作者通过findsomething工具发现可疑接口，使用VueCrack插件成功获取未授权访问路径，直接查询到大量数据。通过分析前端源码发现更多API接口，并利用接口前缀/api成功访问。测试中发现通过删除查询参数可获取更大量数据（18万条），展示了未授权访问漏洞的严重性和利用方法。 综合评分： 83 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,安全工具

某次演练过程中一个有趣的记录 | 某vue网站测试

Asen

李白你好

2025年12月16日 08:02 青海

免责声明：由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

记录在某次演练的过程中一个有趣的记录。

文章作者：先知社区（Asen）

参考来源：https://xz.aliyun.com/news/19378

1►

正文

还是开局一个登录框，先看看是什么指纹发现是Vue的就先偏向去测试接口。

就在findsomething上先看看有没有一些有用的接口,看到这一段接口就有点未授权的味道了。

先用Vue Crack看看有没有一些未授权的路径进去看看还真有东西，这个插件使用起来也是非常的方便，他会自动识别是否未vue，如果有的话他就会自动添加路由。

下载地址：https://github.com/Ad1euDa1e/VueCrack

随机找一个，直接就进来了可能这个时候虽然没有任何信息，但是我们可以点击网站功能点看这些功能点是否有鉴权问题，还可以测试以下sql注入这些。

这里我简单的点击的一下查询功能，没想到就直接查询成功了还是有点意外第一次遇见这种情况，而且这里的数据量还是非常的大一页有十条一共有四千多条，就是4w+的数据了。

既然他一个点都没有鉴权哪肯定会有很多未授权的地方，重新回到登录口看看接口。插件匹配的接口肯定是不完全的，这里就f12看看前端的源码，然后在刚才的findsomething中看到有/api这个单独的接口这个站应该是一个前后端分离的网站，api应该是后端的接口，所以就直接搜api看看他有没有想关联的接口。

这里果然有东西，也看到了api的前面标出为post请求，而且还有几个list结尾的如果能跑出来估计也能有不少的数据了，但这个地方需要注意一个点就是，不能把这些接口拿出来单独跑，他的前面是一定要加上/api，因为在前面的测试中我在抓取登录口的数据包是发现他的每一个接口前面都是加上了/api的因为路由前缀挂载机制，所有后端接口均被统一绑定到 /api下。因此实际调用接口时必须携带统一前缀。抓包测试！！！我这里就直接抓取刚才的查询接口。

然后先进行一波fuzz，前面几个接口基本上都有数据这里就不做展示了。

然后这里有一个特别有意思的点，还是回到刚才的查询的功能点，这个是查询的那个数据包，返回的数据跟在前端的数据是一样的，但他的下面有一段请求参数，这些参数也是可以控制数据的数量，但是有一个很神奇的点是，我想对这个接口进fuzz，把那些参数删掉，他居然重新返回了新的数据，而且体量还非常的大。

我把以上参数删除以后，进行发包，他居然返回了十八万数据，我只能说太神奇了。

2►

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

查看原文：《某次演练过程中一个有趣的记录 | 某vue网站测试》