01 JS中的敏感信息

实战中会经常遇到很多js文件,在js文件中很可能会遇到一些敏感信息和路径之类的,遇到路径可以尝试拼接,有可能会遇到未授权的情况等等,也有很多站点是webpack打包,可以F12查看sources找到路由可以看到所有路径

02 手工/工具测试

手工测试

也可以手工来挨个查看,右键查看源代码,点击这些js文件,ctrl+f

搜索path:或者.do .action http api password 等等,来寻找自己想要的

自动化工具

https://github.com/pingc0y/URLFinder

-s 200 状态码 也可以all
-m 2  深入抓取
-o . 导出csv在当前路径

  插件:FindSomething

其他:

https://github.com/Carrypan2022/leakinfo_finder

添加spring boot actuator目录扫描以及手机号、身份证号码等敏感信息匹配

https://github.com/Threezh1/JSFinder

JSFinder获取URL和子域名

https://github.com/rtcatc/Packer-Fuzzer

支持自动模糊提取对应目标站点的API以及API对应的参数内容,未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞,最后可以生成doc pdf之类的报告

03 Swagger接口测试

特征

Whitelabel Error Page // spring接口信息报错favicon 小绿叶

常见漏洞:未授权访问、越权、任意文件上传、敏感信息泄露等

常见的路径

/v2/api-docs
/swagger-ui.html
/swagger
/api/swagger
/Swagger/ui/index
/api/swaggerui
/swagger/ui
/api/swagger/ui
/api/swagger-ui.html
/user/swagger-ui.html
/libs/swaggerui
/swagger/index.html
/swagger-resources/configuration/ui
/swagger-resources/configuration/security
/api.html
/druid/index.html
/sw/swagger-ui.html
/api/swagger-ui.html
/template/swagger-ui.html
/spring-security-rest/api/swagger-ui.html
/spring-security-oauth-resource/swagger-ui.html
/swagger/v1/swagger.json
/swagger/v2/swagger.json
/api-docs
/api/doc
/docs/
/doc.html
/v1/api-docs
/v3/api-docs

寻找接口

一般在登录处抓包或者感觉什么地方可能会调用接口就在什么地方抓包,可以看到接口信息,然后在针对接口域名扫描

细节:注意看最左上角,下拉可能不止一个接口文档

swagger都会给一个接口调试功能的,寻找自己想要的去调试就行,主要看看未授权之类的,如果遇到需要token之类的,可以先看网站能否注册,然后把自己的token带入到swagger顶部右上角验证,然后再去调试看能不能越权操作

再或者,注意看登录的接口,有的开发会直接把账密留在上面,如果有 一般是管理员权限,尝试登录看是否修改了密码,没修过能登陆的话就可以获取到token 在带入token就行,或者可以用账密string尝试登录,因为swagger注册处很多值都是string,有的测试为了方便,直接在swagger处创建string这个账号,然后就没有删除,导致string这个账号存留在数据库中,有可能账号权限还不低

自动化工具

https://github.com/jayus0821/swagger-hack

用法:
python swagger-hack2.0.py -u https://xxx/v2/api-docs
要用/v2/api-docs这个路径
最终会形成一个csv文档

建议手测,如果遇到接口处有删除的地方且存在未授权的操作,可能就会误删到一些东西
在确认好接口后再使用比较好

原文出处:

JS文件中的敏感信息+swagger接口测试 (qq.com)

JS文件中的敏感信息+swagger接口测试相关推荐

  1. 血淋淋的事实告诉你:你为什么不应该在JS文件中保存敏感信息

    在JavaScript文件中存储敏感数据,不仅是一种错误的实践方式,而且还是一种非常危险的行为,长期以来大家都知道这一点. 而原因也非常简单,我们可以假设你为你的用户动态生成了一个包含API密钥的Ja ...

  2. JSFinder—从js文件中寻找敏感接口和子域名

    说在前面 在渗透测试及漏洞挖掘过程中,信息搜集是一个非常重要的步骤.而在网站的JS文件中,会存在各种对测试有帮助的内容. 比如:敏感接口,子域名等. 社区内的文章也有有些关于JS文件提取信息的片段,比 ...

  3. Aspose.PDF企业案例:Canopy 使用 Aspose.PDF for .NET 设法匿名化 PDF 文件中的敏感信息

    关于Canopy Canopy是一家总部位于新加坡的金融科技初创公司,为高净值人士和财富专业人士提供下一代账户聚合和投资组合可视化平台.Canopy是瑞银金融未来挑战赛(2015 年)的新加坡获胜者和 ...

  4. git bfg 的使用(删除提交记录中的敏感信息,删除文件等)

    前言 使用 Git 的过程中,我们有可能会误提交一些敏感信息(密钥,个人隐私)或无用文件等到远程仓库.这时我们需要清理相关的数据,直接在文件中删除敏感信息再提交,虽然仓库中没有了敏感信息,但是在提交历 ...

  5. 单独使用elementui_Vue在单独引入js文件中使用ElementUI的组件

    Vue在单独引入js文件中使用ElementUI的组件 问题场景: 我想在vue中的js文件中使用elementUI中的组件,因为我在main.js中引入了element包和它的css,并挂载到了全局 ...

  6. 利用EXIF库读取jpg文件中的经纬度信息

    利用EXIF库读取jpg文件中的经纬度信息 EXIF库API参考:http://code.ciaoca.com/javascript/exif-js/ <!DOCTYPE html> &l ...

  7. html img调用js,html调用js变量 如何在html中输出js文件中的变量

    html页面代码中怎么调用js变量?html页面代码中怎么调用js变量,例如 在html代码中插入js代码: a=取浏览你把index1.js 中的onReady 去掉,把index1.js改成 fu ...

  8. python调用js库中的函数_Python 调用JS文件中的函数

    Python 调用JS文件中的函数 1.安装PyExecJS第三方库 2.导入库:import execjs 3.调用JS文件中的方法 Passwd = execjs.compile(open(r&q ...

  9. webpack打包处理js文件中的高级语法

    前言 在js文件中定义一个User类 import $ from 'jquery' import './css/at.css' import './css/at.less' import './css ...

最新文章

  1. 递归/分治:归并排序
  2. Vmware安装Centos NAT方式设置静态IP
  3. Mysql在离线安装时提示:error: Found option without preceding group in config file
  4. linux 开放1701端口,长连接及Linux 查看长连接端口
  5. [菜鸟SpringCloud实战入门]第七章:配置中心客户端主动刷新机制 + 配置中心服务化和高可用改造...
  6. python笔记之while和for循环练习
  7. mysql数据备份(windows,linux)
  8. JAVA IO中的设计模式
  9. 液压系统原理动画_图文讲解液压系统溢流阀分类与工作原理
  10. Head First设计模式整理
  11. PHP教程环境--环境搭建
  12. ADByby 自定义过滤语法简表
  13. python课本图片_python爬虫当当网python书籍图片
  14. android七牛短视频sdk源码,七牛短视频sdk,七牛android直播端必须用七牛提供的sdk吗...
  15. 面向数据结构的分析设计方法(JSD)
  16. 动态规划_背包问题(01背包 完全背包)
  17. ethz的多传感器融合算法msf编译与安装
  18. 《JavaScript百炼成仙》续集01. let强者,竟恐怖如斯
  19. 某个偏锥面跟平面的交线
  20. TextView 中文本内容换行

热门文章

  1. 经典面试题:测试电梯
  2. vsCode运行python设置argparse参数
  3. win10插入耳机时SmartAudio老是弹出怎么办?
  4. 华为定制版北通游戏手柄上手体验,享受大屏视听盛宴冲击,嗨爆了
  5. C. Tea Tasting
  6. 米4android6.0 root,小米4刷机包 小米3/4W/C/TD通刷 安卓6.0刷机包 完美ROOT权限 简洁流畅 非凡体验...
  7. excel时间排序之按年和月排序方法
  8. 【监控系统】配合Graphite使用的报警系统
  9. 关于数藏行业自律,元宇宙产业委为何要连发三次?
  10. 拒绝了一家港资服装厂的邀请