当前位置：首页 > news >正文

有关JS下隐藏的敏感信息

news 2025/7/13 8:58:56

免责声明：本文仅做分享！

JavaScript

介绍

核心组成

工具

FindSomething **

浏览器检查 **

LinkFinder

URLfinder **

SuperSearchPlus **

ffuf

ParasCollector

waymore

Packer Fuzzer

JS逆向

应用：

小结：

JavaScript

介绍

JavaScript 是一种脚本编程语言，它可以在网页上实现复杂的功能，网页展现给你的不再是简单的静态信息，以及各种的表单提交，内容获取，都使用了 JavaScript。

核心组成

JavaScript包含以下几个核心组成部分：

ECMAScript：这是JavaScript的标准化语言，定义了JavaScript的语法和基本功能。ECMAScript规范由ECMA国际组织维护，不同版本对语言进行了扩展和优化。ES6（ECMAScript 2015）是JavaScript发展的重要里程碑，带来了诸如let、const、箭头函数、模块化等新特性。
DOM（Document Object Model）：DOM是浏览器中JavaScript操作网页结构的接口。它将网页的HTML结构表示为树状结构，开发者可以通过JavaScript动态修改网页的内容、样式和结构。
BOM（Browser Object Model）：BOM提供了一组浏览器相关的API，允许开发者通过JavaScript与浏览器进行交互。例如，开发者可以通过BOM访问和控制浏览器的窗口、导航历史、URL地址、cookies等。

工具

FindSomething **

浏览器插件的被动式信息提取工具。

GitHub - momosecurity/FindSomething: 基于chrome、firefox插件的被动式信息泄漏检测工具

浏览器检查 **

源代码

调试器断点

暂停/恢复脚本执行（程序执行到下一断点停止）。
执行到下一步的函数调用（跳到下一行）。
进入当前函数。
跳出当前执行函数。
关闭/开启所有断点（不会取消）。
异常情况自动断点设置。

LinkFinder

LinkFinder 是一个 Python 脚本，用于发现 JavaScript 文件中的 endpoints 及其参数。通过使用该工具，研究人员可以轻松在 JavaScript 文件中发现和扫描网络节点及其相关参数。

https://github.com/GerbenJavado/LinkFinder

403

URLfinder **

pingc0y/URLFinder: 一款快速、全面、易用的页面信息提取工具，可快速发现和提取页面中的JS、URL和敏感信息。 (github.com)

SuperSearchPlus **

superSearchPlus 是聚合型信息收集插件，支持综合查询，资产测绘查询，信息收集敏感信息提取 js 资源扫描目录扫描 vue 组件扫描整合了目前常见的资产测绘平台同时支持数据导出。谷歌浏览器插件。

GitHub - dark-kingA/superSearchPlus: superSearchPlus是聚合型信息收集插件，支持综合查询，资产测绘查询，信息收集敏感信息提取 js资源扫描目录扫描 vue组件扫描整合了目前常见的资产测绘平台专为白帽子提供快速侦测目标。

ffuf

ffuf/ffuf: Fast web fuzzer written in Go (github.com)

爆破没有返回的js.

---找到接口时 fuzz 一下是吧，类型，类似的接口。多观察接口，推测其功能，然后根据功能去FUZZ，毕竟你要实现一个web功能，基本都要有对应的增删改查接口。

ParasCollector

Giftedboy/ParasCollector: Burp Suite参数收集插件(Python) (github.com)

Burp Suite参数收集插件(Python)

用于收集请求/响应中出现的参数，包括 json 数据的参数

waymore

xnl-h4ck3r/waymore: Find way more from the Wayback Machine, Common Crawl, Alien Vault OTX, URLScan & VirusTotal! (github.com)

获取某个网站的历史页面、url、各种资源文件，其中也包括JS...

Packer Fuzzer

rtcatc/Packer-Fuzzer: Packer Fuzzer is a fast and efficient scanner for security detection of websites constructed by javascript module bundler such as Webpack. (github.com)

一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具

---网站用webpack压缩很多js文件时，用Webpack下载提取。

JS逆向

JavaScript逆向工程（JS Reverse Engineering）是一种通过分析和研究JavaScript代码来了解其工作原理的过程。

以前js学习的案例，(主要是登录处的密码加密）先学习思路--->

js逆向之实例某宝热卖(MD5)&爬虫_某宝js逆向-CSDN博客

js逆向之对称加密&west交大登录密码_登录密码逆向-CSDN博客

js逆向之某波大学身份认证&登录密码_("#password").val(encryptaes-CSDN博客

学习文章：

JS断点调试与逆向干货心得

JS逆向,前端加密暴力破解(小白无痛学习)

【SRC】我们需要从JS文件里提取哪些信息？

应用：

应用领域	具体用途
恶意软件分析	解析混淆或加密的JavaScript代码，揭示恶意行为并编写检测规则。
破解前端防护措施	绕过反爬虫机制、验证码验证和加密API参数等客户端防护措施。
API安全评估	分析前端代码中的加密和签名算法，评估API的参数安全性和签名机制。
漏洞挖掘	通过分析JavaScript代码发现XSS、CSRF等前端安全漏洞。
混淆与加密逆向	破解JavaScript代码混淆和加密技术，还原原始代码结构。
反调试与反分析技术研究	研究并绕过前端代码的反调试、反虚拟化检测等防护措施。
自动化测试与爬虫开发	模拟复杂用户行为，绕过前端逻辑，实现自动化抓取数据或测试Web应用安全性。
数据加密与解密分析	逆向前端加密逻辑，解密加密数据，测试数据加密的安全性。
网络钓鱼与诈骗网站分析	分析钓鱼和诈骗网站的JavaScript代码，识别隐藏的恶意行为。

小结：

查找JS时不要只关注.js文件；配合小程序等等寻找~

fuzz

新站点，新JS发现

JavaScript

介绍

核心组成

工具

FindSomething **

浏览器检查 **

LinkFinder

URLfinder **

SuperSearchPlus **

ffuf

ParasCollector

waymore

Packer Fuzzer

JS逆向

应用：

小结：

相关文章：