URLFinder && findsomething - 页面敏感信息提取工具

admin
admin
admin
140535
文章
117
评论
2025年1月9日22:00:48评论51 views字数 1824阅读6分4秒阅读模式

  • js敏感信息扫描

    介绍

    在测试过程中,常常要从JavaScript代码里获取重要信息以支持测试任务。这些信息可能涵盖隐秘的API端点、敏感数据或可能的弱点。本文将介绍两款工具,它们能够自动侦测JavaScript中的敏感信息,即URLFinder和findsomething。

    URLFinder

    URLFinder 这是一个高效、强大且用户友好的工具,旨在深度分析网页中JavaScript代码和URL链接,快速找出隐藏的敏感信息或未授权的API接口。

    github项目地址

    https://github.com/pingc0y/URLFinder

    快速操作

    进行URL扫描

    显示所有状态码
    URLFinder.exe -u http://www.baidu.com -s all -m 3
    仅显示指定状态码
    URLFinder.exe -u http://www.baidu.com -s 200,403 -m 3

    批量URL处理

    导出全部扫描结果
    URLFinder.exe -s all -m 3 -f url.txt -o .
    仅导出HTML格式结果
    URLFinder.exe -s all -m 3 -f url.txt -o res.html
    统一存储扫描结果
    URLFinder.exe -s all -m 3 -ff url.txt -o .

    参数

    -a  自定义user-agent请求头  
-b  自定义baseurl路径  
-c  请求添加cookie  
-d  指定获取的域名,支持正则表达式
-f  批量url抓取,需指定url文本路径  
-ff 与-f区别:全部抓取的数据,视为同一个url的结果来处理(只打印一份结果 | 只会输出一份结果) 
-h  帮助信息  
-i  加载yaml配置文件,可自定义请求头、抓取规则等(不存在时,会在当前目录创建一个默认yaml配置文件)  
-m  抓取模式:        
    1  正常抓取(默认)        
    2  深入抓取 (URL深入一层 JS深入三层 防止抓偏)        
    3  安全深入抓取(过滤delete,remove等敏感路由) 
-max 最大抓取数
-o  结果导出到csv、json、html文件,需指定导出文件目录(.代表当前目录)
-s  显示指定状态码,all为显示全部 
-t  设置线程数(默认50)
-time 设置超时时间(默认5,单位秒)
-u  目标URL  
-x  设置代理,格式: http://username:[email protected]:8877
-z  提取所有目录对404链接进行fuzz(只对主域名下的链接生效,需要与 -s 一起使用)          
    1  目录递减fuzz          
    2  2级目录组合fuzz        
    3  3级目录组合fuzz(适合少量链接使用)

    使用例子

    URLFinder && findsomething - 页面敏感信息提取工具
    URLFinder && findsomething - 页面敏感信息提取工具
    URLFinder && findsomething - 页面敏感信息提取工具

    findsomething

    一款便捷的浏览器扩展,旨在协助用户高效地在网页源码和JavaScript代码中搜寻隐藏的信息,如API请求细节、IP地址泄露及无意间暴露的敏感数据等。该工具尤为适合开发者和安全分析师使用。

    工具特点

    智能信息挖掘:拥有强大的自动化功能,能够自动检索当前网站的JavaScript文件,捕获并挖掘API接口、IP地址、域名等关键敏感数据。

    操作简易:在Google Chrome、Firefox等主流浏览器中安装插件后,访问指定网页,插件便会自动激活,迅速提取并展示信息,用户一键即可浏览或复制所需内容,过程简单方便。

    多浏览器兼容:为适应不同用户需求,支持包括Google Chrome、Firefox在内的多种主流浏览器,用户可根据个人喜好或工作习惯自由选择并安装。

    安装方法

    在浏览器的扩展程序中心搜索FindSomething插件并完成安装。

    安装完毕后,打开百度页面如下所示:

    插件能够从JavaScript代码中抽取出域名、IP、路径等敏感信息。

    URLFinder && findsomething - 页面敏感信息提取工具

    总结

    针对JavaScript代码中的敏感信息提取,市面上有多种工具可供选择,除了已详细介绍过的URLFinder和FindSomething,还有burp插件的burpjslinkfinder等提取工具。

    在实际测试中,为全面揭示JavaScript内的敏感信息,建议测试人员不应仅依赖单一工具,而应尝试多种工具相结合。各工具各有独到之处和适用场合,综合运用能更有效地揭示潜在风险,提高测试质量和安全性。测试人员应结合实际情况和环境,灵活选用和搭配工具,以实现最佳测试成效。

原文始发于微信公众号(泷羽Sec-风宵):URLFinder && findsomething --- 页面敏感信息提取工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月9日22:00:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   URLFinder && findsomething - 页面敏感信息提取工具https://cn-sec.com/archives/3612122.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息