Здравствуйте, дорогие друзья.
Многие современные внешние интерфейсы построены на JavaScript, и это может привести к тому, что традиционные инструменты, могут потерпеть неудачу. Например, при сканировании сборки, созданной с помощью JavaScript, Вы можете обнаружить много упущенных конечных точек. Есть и другие интересные вещи в файлах JavaScript, такие как ключи AWS, конечные точки сегментов S3, ключи API и многое другое.
Для работы с приложениями, использующими JavaScript, Вам необходимо использовать специальные инструменты и техники.
Поиск ссылок
Linkfinder — один из лучших инструментов для анализа конечных точек из файлов JavaScript. Инструмент работает, используя jsbeautifier со списком регулярных выражений для поиска URL-адресов. Можете запустить этот инструмент, если фаза самостоятельного обхода не вернет никаких результатов.
● https://github.com/GerbenJavado/LinkFinder
Для разбора ссылок из файла JavaScript можно использовать следующую команду:
python linkfinder.py -i <JavaScript File> -o cli
Jssearch
Jssearch — еще один синтаксический анализатор JavaScript, за исключением того, что этот инструмент в основном используется для поиска деликатных или интересных строк. Например, разработчики иногда жестко кодируют ключи API, учетные данные AWS и другую конфиденциальную информацию в JavaScript-файлах.
Эту информацию можно легко проанализировать с помощью регулярных выражений.
● https://github.com/incogbyte/jsearch
В настоящее время инструмент ищет только несколько интересных строк, но Вы можете легко использовать пользовательские регулярные выражения для следующего файла:
●https://github.com/incogbyte/jsearch/blob/master/regex_modules/regex_m odules.py
Вы можете запустить инструмент с помощью следующей команды, убедитесь, что Вы используете python 3.7 или выше, иначе инструмент выдаст ошибки:
python3.7 jsearch.py -u https://starbucks.com -n Starbucks
Этот инструмент действительно хорош, когда дело доходит до анализа файлов JavaScript. Убедитесь, что Вы добавили свои собственные регулярные выражения, для улучшения Ваших результатов.
На этом все. Всем хорошего дня!
