前言

Javascript (.js) 文件一般存储的是客户端代码,Javascript 文件可帮助网站执行某些功能,例如监视单击某个按钮的时间,或者当用户将鼠标移到图像上,甚至代表用户发出请求(例如检索信息)时。有时开发人员可以混淆他们的 javascript 代码,使人无法正常阅读,但是大多数类型的混淆是可以反混淆的;如果你是一个漏洞赏金猎人,你应该花一些时间从中寻找宝藏。如果运气好,可能会发现严重程度较高的漏洞。

怎么找js

第一种方法为手动找: 右键单击所在的页面并单击“查看源代码”(,然后开始在 HTML 中查找“.js” . 如果是手动,那么这是首选方法,因为您会注意到某些.js文件仅包含你所在的特定端点的代码,它可能包含你不知道的存在的新的 api 接口。

第二种方法: 如果使用的是Burp Suite专业版,在Target > sitemap下,右键点击感兴趣的站点,选择Engagement tools>Find scripts。使用此特性,你可以导出该应用程序中的所有脚本内容。

第三种方法是: 使用英国著名白帽子tomnomnom的一个工具waybackurls:https://github.com/tomnomnom/waybackurls 这个工具的主要逻辑是可以让你在https://archive.org/web/(这个网站可以 理解为数字图书馆,你可以查找到相对应网站的所有历史网页)这个网站里面去查找某个目标网站的所有历史数据,使用方法:

webbackurls target.com | grep "\.js" | uniq |sort

使用Wayback Machine可能会导致误报,所以,在收集了JavaScript文件的url列表之后, 我们需要检查这个js文件是否真的还存在,可以使用curl快速检查服务器上的JavaScript文件的状态:

cat js_files_url_list.txt | parallel -j50 -q curl -w 'Status:%{http_code}\t Size:%{size_download}\t %{url_effective}\n' -o /dev/null -sk

也可以使用其它现成的工具,例如:hakcheckurl 安装:go install github.com/hakluke/hakcheckurl@latest使用:cat lyftgalactic-js-urls.txt | hakcheckurl

当然还有其他的一些工具,这里简单列一下他们的链接,有兴趣的读者可以自行去研究研究:

https

JavaScript审计相关推荐

  1. 攻防世界——web高手进阶区题解

    目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含  +  preg_replace函数漏洞) 3,ics-06(爆破id) 4,l ...

  2. [从DVWA学到了什么]

    [从DVWA学到了什么] Time: 2021-3-8 Author: badbird 文章目录 [从DVWA学到了什么] low级别-漏洞利用扩展知识 Brute Force Command Inj ...

  3. Burpsuite主动扫描New Scan详细解析

    Burpsuite简介 Burp Suite 是用于攻击web 应用程序的集成平台.它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程. Burpsuite针对漏洞 扫描方式: ...

  4. PDF审计工具peepdf

    PDF审计工具peepdf PDF是Portable Document Format(便携式文档格式)的缩写.它是Adobe公司推出的文件格式规范.现在,PDF是网络电子书籍的主流格式.由于PDF文档 ...

  5. linux添加审计账户_眼镜蛇W眼镜蛇白盒品白源代码审计工具 白帽子版

    写在最前,Cobra-W就像手中的一把剑,这把剑好不好用是Cobra-W的事,如何使用是你的事,希望能有更多的人参与到Cobra-W的变化中来...请使用python3.6 运行该工具,已停止维护py ...

  6. 精通JavaScript攻击框架:AttackAPI

    多年来客户端安全一直未引起人们的足够重视,但是如今情况发生了急剧转变,客户端安全已经成为信息安全领域的焦点之一.Web恶意软件.AJAX蠕虫.浏览历史暴破.登录检测.傀儡控制技术网络端口扫描以及浏览器 ...

  7. JavaScript程序员必备的5个debug技巧

    1. debugger: 我以前也说过,你可以在JavaScript代码中加入一句debugger;来手工造成一个断点效果. 需要带有条件的断点吗?你只需要用if语句包围它: if (somethin ...

  8. fotify php审计,代码安全审计(二)Fortify介绍及使用教程

    简介 Fortify 是一个静态的.白盒的软件源代码安全测试工具.它通过内置的五大主要分析引擎:数据流.语义.结构.控制流.配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配. ...

  9. 要当好JavaScript程序员:5个debug技巧

    我一直使用printf调试程序,一般来说都是比较顺利,但有时候,你会发现需要更好的方法.下面几个JavaScript技巧相信你一定会觉得十分有用: 1. debugger; 我以前也说过,你可以在Ja ...

最新文章

  1. RDKit | 基于相似图可视化原子贡献
  2. Burrard 大桥
  3. 全面剖析【二叉树】的各类遍历方法
  4. 如何更换outlook邮件的背景色
  5. (三)Controller接口控制器详解(二)
  6. python色标_在Python中用色标可视化移动速度
  7. python设计模式(七):组合模式
  8. 排序-选择类排序--堆排序简介
  9. php v9 邮箱登陆,PHPCMS v9会员登录支持Email登录的实现方法
  10. 12.解决SUSE Linux无法使用SSH登录的问题
  11. angular之$parse
  12. iframe 父页面与子页面之间的方法、属性的相互调用
  13. Python项目实战-----科比数据集分析
  14. Java全栈开发---Java ERP系统开发:商业ERP(七
  15. CPU显卡性能对比、天梯图
  16. 讨厌手写,印度小哥开源了一个手写体转换工具,支持中文
  17. 与java类似的电脑程序语言_2018十大最热门编程语言排行榜出炉,Java竟不是第一!...
  18. 用 .NET 启动你的 DJI Ryze Tello 无人机
  19. store彩虹代shua商城模板分享
  20. 计算机动态评估英语阅读,动态评估教学对初中英语学习者阅读能力和策略的影响...

热门文章

  1. 添加 wappalyzer浏览器插件
  2. java 既然出现double类型×2的n次方的时候计算结果出现偏差
  3. 51单片机入门——定时器与外部中断
  4. 基于Qt Creator的简单智能门锁设计
  5. 鸿蒙分布式跨屏,华为推出智慧屏 SE 系列新品,搭载鸿蒙分布式跨屏技术
  6. 傅立叶变换之(一)——欧拉公式
  7. C# 串口、并口 打印机控制
  8. 【渝粤教育】广东开放大学行政法与行政诉讼法 形成性考核 (36)
  9. jpcsp源码解读之三:Screen类
  10. 数据治理工作的8种推进套路(下)