一、前言
因为Hexo大部分都是居于Github的静态博客网站,所以它所有的数据交互都是在前端进行的,那么对文章限制输入密码校验后才能访问密码也是在前端进行的。
破解思路:居然输入密码限制访问是在前端进行的,那么我是不是可以进行抓包进行JS分析,然后修改JS代码进行绕过呢?
说干就干….
二、Burp抓包绕过
目标URL:
三、 打开Burp
四、 走代理
打开浏览器代理走Burp,访问目标URL
右键抓响应包
五、 抓包
抓到包后,搜索“密码”,然后删除JS校验片段
删除JS代码片段后的数据包是这样子:
六、 绕过成功
然后重放,成功绕过密码访问限制
