当前位置: 首页 > article >正文

有关JS下隐藏的敏感信息

免责声明:本文仅做分享! 

目录

JavaScript

介绍

核心组成

工具

FindSomething **

浏览器检查 **

LinkFinder

URLfinder **

SuperSearchPlus **

ffuf

ParasCollector

waymore

Packer Fuzzer

JS逆向

应用:

小结:


JavaScript

介绍

JavaScript 是一种脚本编程语言,它可以在网页上实现复杂的功能,网页展现给你的不再是简单的静态信息,以及各种的表单提交,内容获取,都使用了 JavaScript。

核心组成

JavaScript包含以下几个核心组成部分:

  1. ECMAScript:这是JavaScript的标准化语言,定义了JavaScript的语法和基本功能。ECMAScript规范由ECMA国际组织维护,不同版本对语言进行了扩展和优化。ES6(ECMAScript 2015)是JavaScript发展的重要里程碑,带来了诸如letconst、箭头函数、模块化等新特性。

  2. DOM(Document Object Model):DOM是浏览器中JavaScript操作网页结构的接口。它将网页的HTML结构表示为树状结构,开发者可以通过JavaScript动态修改网页的内容、样式和结构。

  3. BOM(Browser Object Model):BOM提供了一组浏览器相关的API,允许开发者通过JavaScript与浏览器进行交互。例如,开发者可以通过BOM访问和控制浏览器的窗口、导航历史、URL地址、cookies等。


 

工具

FindSomething **

浏览器插件的被动式信息提取工具。

GitHub - momosecurity/FindSomething: 基于chrome、firefox插件的被动式信息泄漏检测工具

浏览器检查 **

源代码

调试器 断点

暂停/恢复脚本执行(程序执行到下一断点停止)。
执行到下一步的函数调用(跳到下一行)。
进入当前函数。
跳出当前执行函数。
关闭/开启所有断点(不会取消)。
异常情况自动断点设置。


LinkFinder

LinkFinder 是一个 Python 脚本,用于发现 JavaScript 文件中的 endpoints 及其参数。通过使用该工具,研究人员可以轻松在 JavaScript 文件中发现和扫描网络节点及其相关参数。

https://github.com/GerbenJavado/LinkFinder

403


URLfinder **

pingc0y/URLFinder: 一款快速、全面、易用的页面信息提取工具,可快速发现和提取页面中的JS、URL和敏感信息。 (github.com)


SuperSearchPlus **

superSearchPlus 是聚合型信息收集插件,支持综合查询,资产测绘查询,信息收集 敏感信息提取 js 资源扫描 目录扫描 vue 组件扫描 整合了目前常见的资产测绘平台 同时支持数据导出。 谷歌浏览器插件。

GitHub - dark-kingA/superSearchPlus: superSearchPlus是聚合型信息收集插件,支持综合查询,资产测绘查询,信息收集 敏感信息提取 js资源扫描 目录扫描 vue组件扫描 整合了目前常见的资产测绘平台 专为白帽子提供快速侦测目标。


ffuf

ffuf/ffuf: Fast web fuzzer written in Go (github.com)

爆破没有返回的js.

---找到接口时 fuzz 一下是吧 ,类型,类似的接口。多观察接口,推测其功能,然后根据功能去FUZZ,毕竟你要实现一个web功能,基本都要有对应的增删改查接口。


ParasCollector

Giftedboy/ParasCollector: Burp Suite参数收集插件(Python) (github.com)

Burp Suite参数收集插件(Python)

用于收集请求/响应中出现的参数,包括 json 数据的参数


waymore

xnl-h4ck3r/waymore: Find way more from the Wayback Machine, Common Crawl, Alien Vault OTX, URLScan & VirusTotal! (github.com)

获取某个网站的历史页面、url、各种资源文件,其中也包括JS...


Packer Fuzzer

rtcatc/Packer-Fuzzer: Packer Fuzzer is a fast and efficient scanner for security detection of websites constructed by javascript module bundler such as Webpack. (github.com)

一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具

---网站用webpack压缩很多js文件时,用Webpack下载提取。


JS逆向

JavaScript逆向工程(JS Reverse Engineering)是一种通过分析和研究JavaScript代码来了解其工作原理的过程。

以前js学习的案例,(主要是登录处的密码加密)先学习思路--->

js逆向之实例某宝热卖(MD5)&爬虫_某宝js逆向-CSDN博客

js逆向之对称加密&west交大登录密码_登录密码逆向-CSDN博客

js逆向之某波大学身份认证&登录密码_("#password").val(encryptaes-CSDN博客

学习文章:

JS断点调试与逆向干货心得

JS逆向,前端加密暴力破解(小白无痛学习)

【SRC】我们需要从JS文件里提取哪些信息?


 

应用:

应用领域具体用途
恶意软件分析解析混淆或加密的JavaScript代码,揭示恶意行为并编写检测规则。
破解前端防护措施绕过反爬虫机制、验证码验证和加密API参数等客户端防护措施。
API安全评估分析前端代码中的加密和签名算法,评估API的参数安全性和签名机制。
漏洞挖掘通过分析JavaScript代码发现XSS、CSRF等前端安全漏洞。
混淆与加密逆向破解JavaScript代码混淆和加密技术,还原原始代码结构。
反调试与反分析技术研究研究并绕过前端代码的反调试、反虚拟化检测等防护措施。
自动化测试与爬虫开发模拟复杂用户行为,绕过前端逻辑,实现自动化抓取数据或测试Web应用安全性。
数据加密与解密分析逆向前端加密逻辑,解密加密数据,测试数据加密的安全性。
网络钓鱼与诈骗网站分析分析钓鱼和诈骗网站的JavaScript代码,识别隐藏的恶意行为。

小结:

查找JS时不要只关注.js文件;配合小程序等等寻找~

fuzz

新站点,新JS发现



http://www.kler.cn/a/312403.html

相关文章:

  • 常用中间件介绍
  • LLMs之MindFormers:基于国产硬件华为Atlas针对GLM-4-9B实现模型全参微调(单机8卡)→模型推理(单卡多batch推理)
  • 机器学习———特征工程
  • iOS 18.2 重磅更新:6个大动作
  • echarts-gl 3D柱状图配置
  • 高德地图通过经纬度查找位置和轨迹回放
  • 【C++篇】~类和对象(中)
  • 【C++】STL----stack和queue常见用法
  • 请求响应-05.请求-日期参数JSON参数
  • Vue2时间轴组件(TimeLine/分页、自动顺序播放、暂停、换肤功能、时间选择,鼠标快速滑动)
  • HarmonyOS 应用获取公钥和 MD5 指纹签名信息
  • MySQL——数据库的高级操作(二)用户管理(4)修改用户密码
  • 第6天:趋势轮动策略开发(年化18.8%,大小盘轮动加择时)
  • 基于STM32设计的水渠闸门远程控制系统(华为云IOT)(226)
  • 14_Python面向对象
  • 【LeetCode】每日一题 2024_9_17 公交路线(BFS)
  • Effective Java 学习笔记45-48 Stream
  • VS code 查看 ${workspaceFolder} 目录指代路径
  • 设计模式-行为型模式-解释器模式
  • Python 解析 Charles JSON Session File (.chlsj)
  • 攻防世界--->gametime
  • 数据结构-2.7.单链表的查找与长度计算
  • linux-系统管理与监控-磁盘管理
  • mysql学习教程,从入门到精通,SQL DISTINCT 子句 (16)
  • DeDeCMS靶场漏洞复现
  • 前端vue-父传子