文章总结: 本文介绍了通过检索前端JS文件中的.json路径发现敏感数据泄露的方法。开发人员常遗留包含真实PII、Token或内网架构的Mock文件,直接访问可下载。该漏洞成本低回报高,建议渗透测试时重点排查JS引用的JSON路径。 综合评分: 85 文章分类: WEB安全,数据泄露,渗透测试
极容易被忽视的信息泄露思路
原创
z-wink z-wink
迪哥讲事
2026年1月28日 10:01 四川
极容易被忽视的信息泄露思路
正文
在做测试的目标时,一定要搜索前端 JavaScript 文件里出现的“.json”路径,尤其是/assets/mock/、/test/、/fixtures/等目录,因为开发或测试人员可能遗留了真实测试数据文件,其中可能包含 PII(个人隐私信息)、API 密钥、Token、内部接口结构等敏感信息。
举个例子:
打包后的前端 JS 往往会包含:
fetch("/assets/mock/user.json")
axios.get("/mock/order-detail.json")
~
这些路径直接告诉你服务器上存在未受保护的 JSON 文件。
Mock JSON 文件经常包含真实敏感数据
- 测试账号邮箱
- 用户姓名、手机号
- JWT token
- 内部接口结构
- AWS key / Stripe key
- 内网 URL
这些文件通常未加访问控制 直接浏览器访问即可下载:
https://target.com/assets/mock/users.json
~
这是低成本高回报的漏洞点
场景一:泄露真实用户信息
前端 main.js 中发现
axios.get("/assets/mock/userList.json")
~
访问:
https://target.com/assets/mock/userList.json
~
返回:
[
{
"id": 1001,
"name": "Alice Zhang",
"email": "[email protected]",
"phone": "+86-138xxxx"
}
]
~
这属于 PII 泄露 → 高危漏洞。
场景二:泄露测试 Token
fetch("/mock/loginResponse.json")
~
文件内容:
{
"token": "eyJhbGciOiJIUzI1NiIsInR5cCI...",
"role": "admin"
}
~
攻击者可拿 token 直接登录 → 认证绕过漏洞。
场景三:泄露内部接口结构
{
"internalApi": "http://10.0.3.15:9000/admin/deleteUser",
"db": "mongodb://user:[email protected]:27017"
}
~
这会暴露 内网架构与凭据 → 高危信息泄露。
如果你是一个长期主义者,欢迎加入我的知识星球,本星球日日更新,包含号主大量一线实战,全网独一无二,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
往期回顾
#
如何利用ai辅助挖漏洞
#
如何在移动端抓包-下
#
如何绕过签名校验
#
一款bp神器
挖掘有回显ssrf的隐藏payload
ssrf绕过新思路
一个辅助测试ssrf的工具
dom-xss精选文章
年度精选文章
Nuclei权威指南-如何躺赚
漏洞赏金猎人系列-如何测试设置功能IV
漏洞赏金猎人系列-如何测试注册功能以及相关Tips
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:迪哥讲事 z-wink z-wink《极容易被忽视的信息泄露思路》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论