网站信息收集小技巧:从js中获得敏感信息

admin 2023年6月8日13:41:23评论149 views字数 1183阅读3分56秒阅读模式

获网安教程

免费&进群

网站信息收集小技巧:从js中获得敏感信息  
网站信息收集小技巧:从js中获得敏感信息

本文由掌控安全学院-徐浩洋投稿


对于web层面的信息收集,主要还是子域名、网站目录和网站链接上面。通过子域名的收集,能够有效的获取到更多的站点,而这些站点里面通常又会包含大量不同的链接和信息。再这里面,很容易就能发现 信息泄露、未授权访问等漏洞

我并不认为whois有多么的重要,除非就像朝阳老师说的那个样子,用来猜密码。

子域名查找技巧: 利用病毒查杀网站

https://www.virustotal.com/
这个原理就是利用查看他的病毒检查报告来收集子域名。

网站信息收集小技巧:从js中获得敏感信息

在我的认知当中这个就是最好,一秒出货,无需跑字典。

从js中获得取信息

subjs:https://github.com/lc/subjs

网站信息收集小技巧:从js中获得敏感信息

网站信息收集小技巧:从js中获得敏感信息

通过subjs就能轻松获取到网站中的js链接。很多网站会通过ajax等方式来异步获取数据,提高用户的使用体验,所以在js中通常会藏有不少的链接。我们可以尝试取提取出这些链接信息。

linkfinder: https://github.com/GerbenJavado/LinkFinder

linkfinder是一款自动化分析js中隐藏链接的工具,通过它,我们能够非常轻松的从subjs的结果中获取链接信息

网站信息收集小技巧:从js中获得敏感信息

网站信息收集小技巧:从js中获得敏感信息

linkfinder除了能够查找js文件中的链接, 它还可以获取网站中的链接:

网站信息收集小技巧:从js中获得敏感信息


网站信息收集小技巧:从js中获得敏感信息
(-o是保存,有无均可)
这样就省着我点击了。

通过这样的方式,我们能够有效的收集到大量的可攻击目标。

利用爬虫获取全站链接

https://commoncrawl.org/
国内有时候不稳定,多刷新。

网站信息收集小技巧:从js中获得敏感信息

网站信息收集小技巧:从js中获得敏感信息

随便选一个年份

网站信息收集小技巧:从js中获得敏感信息

网站信息收集小技巧:从js中获得敏感信息

https://bbs.zkaq.cn/robots.txt

网站信息收集小技巧:从js中获得敏感信息

https://bbs.zkaq.cn/sitemap.txt

网站信息收集小技巧:从js中获得敏感信息

算不算漏洞,我也不知道,反正是通过爬虫分析全站链接帮我找到的。

网页存档中的信息

网页存档:相当于是网站在某个时间点的快照

网页存档网站: http://archive.org/

提供上面一个网站,国内有时候不稳定,多刷新。

网站信息收集小技巧:从js中获得敏感信息

在这个网站里面,你可以获取历史的网页站点和js文件,然后再按照上面的方式,去尝试分析里面的文件和链接


申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

网站信息收集小技巧:从js中获得敏感信息

没看够~?欢迎关注!


分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+交流群+靶场账号

 

网站信息收集小技巧:从js中获得敏感信息

 分享后扫码加我


回顾往期内容

Xray挂机刷漏洞

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

代码审计 | 这个CNVD证书拿的有点轻松

【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

网站信息收集小技巧:从js中获得敏感信息

点赞+在看支持一下吧~感谢看官老爷~ 

你的点赞是我更新的动力

原文始发于微信公众号(掌控安全EDU):网站信息收集小技巧:从js中获得敏感信息

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月8日13:41:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网站信息收集小技巧:从js中获得敏感信息http://cn-sec.com/archives/1788149.html

发表评论

匿名网友 填写信息