文章总结： 本文记录了一次Vue应用渗透测试案例。利用Findsomething和VueCrack插件发现未授权路由，直接访问敏感接口获取数据。通过抓包确定后端需携带/api前缀，Fuzz测试发现移除某查询参数后返回量激增至18万条。案例揭示了未授权访问及参数校验缺失导致的数据泄露风险，建议加强接口鉴权。 综合评分： 83 文章分类： 渗透测试,WEB安全,实战经验,红队

实战 | 某次演练过程中一个有趣的记录

Asen Asen

乌雲安全

2026年1月29日 08:18 重庆

作者：Asen

来源：https://xz.aliyun.com/news/19378

前言

记录在某次演练的过程中一个有趣的记录。

案例

还是开局一个登录框，先看看是什么指纹发现是Vue的就先偏向去测试接口。

就在findsomething上先看看有没有一些有用的接口,看到这一段接口就有点未授权的味道了。

先用Vue Crack看看有没有一些未授权的路径进去看看还真有东西，这个插件使用起来也是非常的方便，他会自动识别是否未vue，如果有的话他就会自动添加路由。

下载地址：https://github.com/Ad1euDa1e/VueCrack

随机找一个，直接就进来了可能这个时候虽然没有任何信息，但是我们可以点击网站功能点看这些功能点是否有鉴权问题，还可以测试以下sql注入这些。

这里我简单的点击的一下查询功能，没想到就直接查询成功了还是有点意外第一次遇见这种情况，而且这里的数据量还是非常的大一页有十条一共有四千多条，就是4w+的数据了。

既然他一个点都没有鉴权哪肯定会有很多未授权的地方，重新回到登录口看看接口。插件匹配的接口肯定是不完全的，这里就f12看看前端的源码，然后在刚才的findsomething中看到有/api这个单独的接口这个站应该是一个前后端分离的网站，api应该是后端的接口，所以就直接搜api看看他有没有想关联的接口。

这里果然有东西，也看到了api的前面标出为post请求，而且还有几个list结尾的如果能跑出来估计也能有不少的数据了，但这个地方需要注意一个点就是，不能把这些接口拿出来单独跑，他的前面是一定要加上/api，因为在前面的测试中我在抓取登录口的数据包是发现他的每一个接口前面都是加上了/api的因为路由前缀挂载机制，所有后端接口均被统一绑定到 /api下。因此实际调用接口时必须携带统一前缀。抓包测试！！！我这里就直接抓取刚才的查询接口。

然后先进行一波fuzz，前面几个接口基本上都有数据这里就不做展示了。

然后这里有一个特别有意思的点，还是回到刚才的查询的功能点，这个是查询的那个数据包，返回的数据跟在前端的数据是一样的，但他的下面有一段请求参数，这些参数也是可以控制数据的数量，但是有一个很神奇的点是，我想对这个接口进fuzz，把那些参数删掉，他居然重新返回了新的数据，而且体量还非常的大。

我把以上参数删除以后，进行发包，他居然返回了十八万数据，我只能说太神奇了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：乌雲安全 Asen Asen《实战 | 某次演练过程中一个有趣的记录》