JS信息收集(小迪网络安全笔记~

免责声明:本文章仅用于交流学习,因文章内容而产生的任何违法&未授权行为,与文章作者无关!!!
附:完整笔记目录~
ps:本人小白,笔记均在个人理解基础上整理,若有错误欢迎指正!

2.4 JS信息收集

  1. 引子:上一篇所介绍源码信息收集,主要针对目标站点不可见的后端源码进行收集,往往能收集到的概率小但危害较大。而本篇则介绍针对前后端分离&前端Web的JS的信息收集,由于源码本身可见,因此收集重点从源码转为源码中的敏感信息。
  2. 手工收集
    一般测试者在进行信息收集时,往往会采用工具+手工的方式而非纯手工。而手工收集中最常用的收集方法,则为借助浏览器开发者工具(F12)搜索关键词。
    这里列举一些可能会包含敏感信息的JS关键词:src= , path= ,$.ajax …
  3. Burp插件收集
    1. HaE:https://github.com/gh0stkey/HaE
      通过规则库正则匹配数据包中的敏感数据,并高亮展示匹配到的数据包。
      以某通为例:
      image-20241219152910344
    2. BurpAPIFinder:https://github.com/shuanx/BurpAPIFinder
      JS敏感信息匹配插件,且据作者说信息匹配除正则外还支持多种模式,集成了HaE、APIKit等敏感信息指纹等。
      例子:
      image-20241219175056679
      依据其配置文件规则匹配,听说该插件支持递归扫描、深入挖掘,因此能获取到更多的信息。不过缺点就是,扫描速度慢,刷新时内存占用高。
  4. 自动化工具收集
    1. 浏览器插件 → FindSomething
      该插件会收集当前标签页源码&JS链接,并将收集到的JS链接再次加载以获取JS源码,随后从获取到的html&js源码中通过正则匹配其中的敏感信息并展示。
      以xiaodi8为例:
      image-20241219181409550
    2. JSFinder:https://github.com/Threezh1/JSFinder
      依据正则检索Web js文件中的URL、子域名等信息。引小迪的评价,“老牌蘸酱”。
      例子:
      image-20241219185253114
    3. URLFinder:https://github.com/pingc0y/URLFinder
      作者说由于JSFinder项目长时间无人维护,因此自己写了一个。项目较新,检索速度快&内容多,对于自动化工具JS信息收集,更推荐该项目。
      例子:
      image-20241219193310542
      相较于JSFinder,使用URLFinder获取到的信息除URL&子域名外,还有各种经规则匹配的敏感信息。
    4. ffuf:https://github.com/ffuf/ffuf
      上述所提到的各种JS敏感信息收集方式,正则、递归等,都是在被发送至浏览器上的JS文件基础进行。而ffuf不同,使用模糊测试的方法,通过大字典去跑目标Web可能存在的JS文件,主要针对部分JS文件可能存在但并未被发送至客户端的情况,从而获取更多信息。
      其实就跟目录扫描差不多,只不过这里扫的全是js文件罢了。由于使用ffuf需要提前准备字典,so 这里分享一个字典站:https://wordlists.assetnote.io/
      例子:
      image-20241219215651649
    5. Packer-Fuzzer:https://github.com/rtcatc/Packer-Fuzzer
      由于WebPack会自动将打包后的JS代码进行混淆,导致上述JS信息收集方式收集到的信息不那么准确,因此针对WebPack站点,建议使用对口工具。
      Packer-Fuzzer,主要目标为WebPack站点,针对被打包的JS文件进行敏感信息收集,且支持部分漏洞检测,扫描完成后会自动生成检测报告。
      例子:
      image-20241219231944767
      该项目会先将整个WebPack打包文件拖下来,再对拖下来的文件内容进行收集敏感信息,最后给出报告。因此实际中使用该工具跑一遍站点速度较慢。
    6. jjjjjjjjjjjjjs:https://github.com/ttstormxx/jjjjjjjjjjjjjs
      针对WebPack站点的敏感信息收集工具。相较于Packer-Fuzzer,该项目仅匹配JS文件中的敏感信息,而不会拖取被打包文件,因此运行速度快。至于这两款工具还有什么优缺点,有用过的师傅可以聊一下🙏。
      例子:
      image-20241220125415215

注:本文介绍了很多关于JS文件信息收集的工具,各个工具的功能或多或少都有些重复性。实际上,不必太纠结用哪款&那款好,我们的目标始终是解决问题而非工具选择。(ps:不要拿工具在网上乱扫哈,我们是禁止所有未授权测试的。)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值