Найти в Дзене
Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)
2296 подписчиков

#23 Bug Bounty. Проверка файлов JavaScript.

14
1 мин
Здравствуйте, дорогие друзья. Многие современные внешние интерфейсы построены на JavaScript, и это может привести к тому, что традиционные инструменты, могут потерпеть неудачу. Например, при сканировании сборки, созданной с помощью JavaScript, Вы можете обнаружить много упущенных конечных точек. Есть и другие интересные вещи в файлах JavaScript, такие как ключи AWS, конечные точки сегментов S3, ключи API и многое другое. Для работы с приложениями, использующими JavaScript, Вам необходимо использовать специальные инструменты и техники. Поиск ссылок Linkfinder — один из лучших инструментов для анализа конечных точек из файлов JavaScript. Инструмент работает, используя jsbeautifier со списком регулярных выражений для поиска URL-адресов. Можете запустить этот инструмент, если фаза самостоятельного обхода не вернет никаких результатов. ● https://github.com/GerbenJavado/LinkFinder Для разбора ссылок из файла JavaScript можно использовать следующую команду: python linkfinder.py -i <JavaScript

Здравствуйте, дорогие друзья.

Многие современные внешние интерфейсы построены на JavaScript, и это может привести к тому, что традиционные инструменты, могут потерпеть неудачу. Например, при сканировании сборки, созданной с помощью JavaScript, Вы можете обнаружить много упущенных конечных точек. Есть и другие интересные вещи в файлах JavaScript, такие как ключи AWS, конечные точки сегментов S3, ключи API и многое другое.

Для работы с приложениями, использующими JavaScript, Вам необходимо использовать специальные инструменты и техники.

Поиск ссылок

Linkfinder — один из лучших инструментов для анализа конечных точек из файлов JavaScript. Инструмент работает, используя jsbeautifier со списком регулярных выражений для поиска URL-адресов. Можете запустить этот инструмент, если фаза самостоятельного обхода не вернет никаких результатов.

https://github.com/GerbenJavado/LinkFinder

Для разбора ссылок из файла JavaScript можно использовать следующую команду:

python linkfinder.py -i <JavaScript File> -o cli

Jssearch

Jssearch — еще один синтаксический анализатор JavaScript, за исключением того, что этот инструмент в основном используется для поиска деликатных или интересных строк. Например, разработчики иногда жестко кодируют ключи API, учетные данные AWS и другую конфиденциальную информацию в JavaScript-файлах.

Эту информацию можно легко проанализировать с помощью регулярных выражений.

https://github.com/incogbyte/jsearch

-2

В настоящее время инструмент ищет только несколько интересных строк, но Вы можете легко использовать пользовательские регулярные выражения для следующего файла:

●https://github.com/incogbyte/jsearch/blob/master/regex_modules/regex_m odules.py

Вы можете запустить инструмент с помощью следующей команды, убедитесь, что Вы используете python 3.7 или выше, иначе инструмент выдаст ошибки:

python3.7 jsearch.py -u https://starbucks.com -n Starbucks

-3

Этот инструмент действительно хорош, когда дело доходит до анализа файлов JavaScript. Убедитесь, что Вы добавили свои собственные регулярные выражения, для улучшения Ваших результатов.

На этом все. Всем хорошего дня!

Язык программирования JavaScript
1946 интересуются