当前位置：首页 > news >正文

JS信息收集（小迪网络安全笔记~

news 来源：原创 2025/5/21 1:21:14

免责声明：本文章仅用于交流学习，因文章内容而产生的任何违法&未授权行为，与文章作者无关！！！
附：完整笔记目录~
ps：本人小白，笔记均在个人理解基础上整理，若有错误欢迎指正！

2.4 JS信息收集

引子：上一篇所介绍源码信息收集，主要针对目标站点不可见的后端源码进行收集，往往能收集到的概率小但危害较大。而本篇则介绍针对前后端分离&前端Web的JS的信息收集，由于源码本身可见，因此收集重点从源码转为源码中的敏感信息。
手工收集
一般测试者在进行信息收集时，往往会采用工具+手工的方式而非纯手工。而手工收集中最常用的收集方法，则为借助浏览器开发者工具（F12）搜索关键词。
这里列举一些可能会包含敏感信息的JS关键词：src= ， path= ，$.ajax …
Burp插件收集
1. HaE：https://github.com/gh0stkey/HaE
  通过规则库正则匹配数据包中的敏感数据，并高亮展示匹配到的数据包。
  以某通为例：
2. BurpAPIFinder：https://github.com/shuanx/BurpAPIFinder
  JS敏感信息匹配插件，且据作者说信息匹配除正则外还支持多种模式，集成了HaE、APIKit等敏感信息指纹等。
  例子：
  
  依据其配置文件规则匹配，听说该插件支持递归扫描、深入挖掘，因此能获取到更多的信息。不过缺点就是，扫描速度慢，刷新时内存占用高。
自动化工具收集
1. 浏览器插件 → FindSomething
  该插件会收集当前标签页源码&JS链接，并将收集到的JS链接再次加载以获取JS源码，随后从获取到的html&js源码中通过正则匹配其中的敏感信息并展示。
  以xiaodi8为例：
2. JSFinder：https://github.com/Threezh1/JSFinder
  依据正则检索Web js文件中的URL、子域名等信息。引小迪的评价，“老牌蘸酱”。
  例子：
3. URLFinder：https://github.com/pingc0y/URLFinder
  作者说由于JSFinder项目长时间无人维护，因此自己写了一个。项目较新，检索速度快&内容多，对于自动化工具JS信息收集，更推荐该项目。
  例子：
  
  相较于JSFinder，使用URLFinder获取到的信息除URL&子域名外，还有各种经规则匹配的敏感信息。
4. ffuf：https://github.com/ffuf/ffuf
  上述所提到的各种JS敏感信息收集方式，正则、递归等，都是在被发送至浏览器上的JS文件基础进行。而ffuf不同，使用模糊测试的方法，通过大字典去跑目标Web可能存在的JS文件，主要针对部分JS文件可能存在但并未被发送至客户端的情况，从而获取更多信息。
  其实就跟目录扫描差不多，只不过这里扫的全是js文件罢了。由于使用ffuf需要提前准备字典，so 这里分享一个字典站：https://wordlists.assetnote.io/
  例子：
5. Packer-Fuzzer：https://github.com/rtcatc/Packer-Fuzzer
  由于WebPack会自动将打包后的JS代码进行混淆，导致上述JS信息收集方式收集到的信息不那么准确，因此针对WebPack站点，建议使用对口工具。
  Packer-Fuzzer，主要目标为WebPack站点，针对被打包的JS文件进行敏感信息收集，且支持部分漏洞检测，扫描完成后会自动生成检测报告。
  例子：
  
  该项目会先将整个WebPack打包文件拖下来，再对拖下来的文件内容进行收集敏感信息，最后给出报告。因此实际中使用该工具跑一遍站点速度较慢。
6. jjjjjjjjjjjjjs：https://github.com/ttstormxx/jjjjjjjjjjjjjs
  针对WebPack站点的敏感信息收集工具。相较于Packer-Fuzzer，该项目仅匹配JS文件中的敏感信息，而不会拖取被打包文件，因此运行速度快。至于这两款工具还有什么优缺点，有用过的师傅可以聊一下🙏。
  例子：

注：本文介绍了很多关于JS文件信息收集的工具，各个工具的功能或多或少都有些重复性。实际上，不必太纠结用哪款&那款好，我们的目标始终是解决问题而非工具选择。（ps：不要拿工具在网上乱扫哈，我们是禁止所有未授权测试的。）

2.4 JS信息收集

相关文章：