有没有那种针对 vue/react 建的站的 webshell？

槽点太多
1.webshell 都是针对后端语言的，js 有个🔨webshell
2.就算你搞个 xss 也不叫日下来了
3.搞浏览器有个锤子，对日这个站有个锤子帮助。
4.测试有授权吗？随便这么发站不是在搞笑吗

@godblessumilk vue 的站点都这样 上来就把全站 api 给你 但你也得找 api 有没注入上传或者绕过的点。。没有也白搭

@3dwelcome 你拿路径有啥用，还能在 nginx 做一层 rewrite，你又不知道真实地址

@wangxin13g 这是 LZ，希望不要对安全圈产生误解

为什么找到了房门却要在院子里乱挖呢

苦心阅读 chrome 源码中。。。。。

建议先学学开发再学安全吧。

通过浏览器层面的 0day 去搞了..........

你朋友蓝队的那你是做什么的
我怎么感觉连开发都不像

😧 。。。。。
前端 webshell 你是要自己日自己吗？？？

webshell 都是针对后端的……后端数据交互的，除非是服务端渲染（那就是 Node.js 了）的时候有洞。。。那其实也算是后端了，模板插 shell 文件包含这些不都是属于后端范畴吗？？ 😓

你俩要能日进滴滴的后台运营界面，要么你俩被滴滴重金聘用，从此走上人生巅峰；要么你俩牢底坐穿。

我看好你哦。

楼主这问题问的，有一种找到洞口却不想着讨女生欢心（后端登录接口入手），反而上 v2 问如何洞口拔毛……

@lanyi96 不能再同意

纯好奇点进来的 看见标题还在纳闷儿 vue 和 webshell 有什么关系 是有什么新大陆了吗 点进来看了看 然后 。。。。。。

看的有些莫名其妙...
前端问题再大就是 XSS 那套事情
主要还是看后端 API 写的有没有过滤参数
能让你 sql 注入一下啥的
看 chrome 源码干啥？？？😅想不通

@Zy143L 浏览器远程代码执行漏洞🌚

答案是没有。Vue 和 React 是前端框架，写出来的东西最终是 html 和 javascript 。这两个东西只有浏览器才能运行，但浏览器有安全策略，一个是同源策略，另一个是沙盒。其中沙盒这个特性，会限制你使用 javascript 是无法访问本地资源的，比如访问打印机以及读取文件等。从这一点来说，使用纯 html 和 javascrript 就没办法完成一个 webshell 。并且浏览器是客户端，不是服务端。你也只能搞一些前端安全的东西，就是 XSS 那一套。
你想拿到服务器 webshell，应该从后端下手。只有后端语言才能完成 webshell 的编写，比如 php 和 jsp，并且依赖于 web 中间件，比如 tomcat 就没办法运行 php 的 webshell 。目标服务器后端采用的 web 中间件，做好信息收集了吗？
排除掉前端安全漏洞，能直接拿 webshell 漏洞有：文件包含，文件上传，命令执行，SQL 注入。你应该从这些漏洞入手。还有就是通用漏洞，操作系统，web 中间件，开发框架以及开发组件的漏洞。