文章总结： 文章通过一个SRC实战案例，演示了如何从JS文件中发现敏感token并利用其绕过接口权限校验，最终实现任意文件上传的高危漏洞挖掘过程。关键发现包括JS常泄露token、内网地址等敏感信息，接口缺乏有效校验机制。建议安全测试人员养成查看JS文件的习惯，重点关注敏感参数和隐藏接口。 综合评分： 85 文章分类： SRC活动,漏洞分析,WEB安全,实战经验,安全意识

【SRC实战】多看一眼多赚1000

Z2O安全攻防

2026年4月11日 21:51 北京

在小说阅读器读本章

去阅读

以下文章来源于隐雾安全 ，作者隐雾安全

隐雾安全 .

隐雾，为您提供职业成功的关键。

📝 编者语

最近有学员在面试中被问到了JS相关的知识，刚好我这里有一篇单点漏洞挖掘记录。

我们不看结果，只看过程： 怎么从一段JS，一步一步走到“任意文件上传”。

1

看一眼1000

一开始其实没想那么多。

就是在正常翻站点的时候，顺手点开了浏览器里的JS文件。结果成功挖到一个价值1000的【高危】

说实话，在没了解JS之前，总觉得JS很杂，看起来也费时间。

了解之后每次看到JS都会多看一会。

然后就看到了一个让我有点在意的东西： 一个看起来像 token 的参数。

第一反应：这个 token 是干嘛的？

看到这种东西，我现在基本会条件反射想一件事：

这个token是不是用来调用接口的？

于是在JS里找它的使用位置，很快就定位到了一个接口，是用来上传文件的。

到这里，其实还只是“有点意思”，还谈不上漏洞。

第二步：不带 token，会怎样？

我先做了一个最基础的测试：

• 不带 token，请求接口
• 返回 401，禁止访问

这个时候其实逻辑是正常的，看起来像是做了权限控制。

但关键在于： 我已经拿到了 token。

第三步：带上 token，再试一次

然后我把 JS 里那个 token，直接带到请求里。

结果请求成功了。

接口返回正常，而且文件上传也成功了。

到这里，其实问题已经开始出现了：

一个本该“受保护”的接口，因为token泄露，就可以被直接调用。

第四步：我开始有点不放心了

这时候我脑子里冒出来一个想法：

如果这个接口真的没做校验，那我能不能上传“任意文件”？

于是我开始尝试：

• 改文件类型
• 改后缀
• 随便传点别的内容

结果发现，这个接口居然没有限制上传文件类型，直接就能成功。

到这里，这个漏洞其实已经成型了

整个过程走下来，其实很简单：

1. 在 JS 里发现 token
2. 找到对应接口
3. 测试接口权限
4. 验证上传能力
5. 扩展成任意文件上传

本质就是：

JS 泄露敏感信息 + 接口缺乏有效校验 = 高危漏洞

2

一点习惯的改变

这个洞并不复杂，但它让我开始重新看待JS：

JS文件，不只是“前端代码”，它有时候就是一张“藏宝图”。

以前更多是在测页面接口、测功能，现在我会多加一步：

• 打开 JS
• 找接口
• 找参数
• 找 token / key / url

很多线索，其实都在这里。

现在看 JS，一般看什么？

1. 看有没有敏感信息

• token
• key
• 内网地址
• 接口路径

2. 看有没有隐藏接口

• 上传接口
• 管理接口
• 未在前端展示的功能

3. 看参数是怎么传的

• 有没有可以复用的参数
• 有没有可以直接调用的请求

有时候技术变强，就是从：

哪些地方“值得你多看一眼”开始的。

3

感悟

这个洞让我印象挺深的，不是因为它有多难，而是因为它很“顺”。

就像是：

• 你看到一个线索
• 顺着走
• 再顺着走
• 最后自然就到了结果

没有什么特别跳跃的操作。

但如果一开始没有点开那个JS，这一切都不会发生。

很多漏洞，不是藏得深，而是你有没有停下来多看一眼。

🎁

建了个src专项圈子，内容包含src漏洞知识库、src挖掘技巧、src视频教程等，一起学习赚赏金技巧，以及专属微信群一起挖洞

圈子专注于更新src相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、小群一起挖洞

图片

图片

图片

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Z2O安全攻防 《【SRC实战】多看一眼多赚1000》