通过JavaScript进行漏洞挖掘思路
本文针对js漏洞挖掘,其实从JavaScript中挖掘,也就是在js中挖掘敏感的接口漏洞,我们一共需要两个步骤,一个是通过工具进行js搜集,第二步就要利用工具进行js中敏感接口提取。
首先我们需要针对js进行一个搜集
1、URLFinder搜集js目录
这里使用我使用windows版本进行测试
测试方式:
单个url
显示全部状态码
URLFinder.exe -u http://www.baidu.com -s all -m 3
显示200和403状态码
URLFinder.exe -u http://www.baidu.com -s 200,403 -m 3批量进行扫描
导出全部
URLFinder.exe -s all -m 3 -f url.txt -o .只导出html
URLFinder.exe -s all -m 3 -f url.txt -o res.html结果统一保存
URLFinder.exe -s all -m 3 -ff url.txt -o .2、利用Findsomething插件
上面我们会搜集出一些js文件,比如我这里检索出了一些后台的js文件,属于未授权的js文件
那么我就可以访问这个路径使用谷歌的一款插件Findsomething
通过这个插件我就可以快速找到一些接口,这里我们再进行一个接口的fuzz测试
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-05-13,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
腾讯云服务器利旧
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。