JS前端架構(gòu)-開發(fā)框架分析

瀏覽器全局搜索分析

如何快速獲取價(jià)值信息?? ?瀏覽器 CTRL+F搜索關(guān)鍵字

????src=

? ? path=

????method:"get"

????http.get("

????method:"post"

????http.post("

????$.ajax

????http://service.httppost

????http://service.httpget

通過Chrome插件判斷網(wǎng)站前端框架

通過瀏覽器上的文件分析，引用了大量的js文件

在源代碼處搜索

前端架構(gòu)-半自動(dòng)Burp分析

自帶功能：Target->sitemap->Engagement tools->Find scripts

該功能處理.js后綴的文件之外，頁面中script標(biāo)簽的內(nèi)容也會(huì)自動(dòng)匹配出來。等同于右鍵看完當(dāng)前頁面的js邏輯后在接著Ctrl F 搜.js然后繼續(xù)看代碼，在Burp里相對方便得多。

官方插件：Extender->BApp Store->JS Link Finder & JS Miner

這倆工具不用

第三方插件：Extender->Extensions->HaE & Unexpected_information

Unexpected_information：https://github.com/ScriptKid-Beta/Unexpected_information
用來標(biāo)記請求包中的一些敏感信息、JS接口和一些特殊字段，
防止我們疏忽了一些數(shù)據(jù)包，使用它可能會(huì)有意外的收獲信息。

HaE：https://github.com/gh0stkey/HaE

安裝成功后出現(xiàn)HaE要把其中的篩選規(guī)則中的Config替換掉
https://raw.githubusercontent.com/gh0stkey/HaE/gh-pages/Config.yml
基于BurpSuite插件JavaAPI開發(fā)的請求高亮標(biāo)記與信息提取的輔助型插件。該插件可以通過自定義正則的方式匹配響應(yīng)報(bào)文或請求報(bào)文，可以自行決定符合該自定義正則匹配的相應(yīng)請求是否需要高亮標(biāo)記、信息提取。

這倆也沒必要，有更優(yōu)秀的

Jsfinder-從表現(xiàn)中JS中提取URL或者敏感數(shù)據(jù)
https://github.com/Threezh1/JSFinder
一款用作快速在網(wǎng)站的js文件中提取URL，子域名的工具

• 使用語句：python JSFinder.py -u https://px.gtxy.cn/np/#/login

不推薦使用

URLFinder-從表現(xiàn)中JS中提取URL或者敏感數(shù)據(jù)（*）

https://github.com/pingc0y/URLFinder

一款用于快速提取檢測頁面中JS與URL的工具。

功能類似于JSFinder，但JSFinder好久沒更新了。

• 使用語句：URLFinder-windows-amd64.exe -u https://px.gtxy.cn/np/#/login -s all -m 2

JSINFO-SCAN-從表現(xiàn)中JS中提取URL或者敏感數(shù)據(jù)

https://github.com/p1g3/JSINFO-SCAN

遞歸爬取域名(netloc/domain)，以及遞歸從JS中獲取信息的工具

FindSomething-從表現(xiàn)中JS中提取URL或者敏感數(shù)據(jù)-推薦（*）

https://github.com/momosecurity/FindSomething

該工具是用于快速在網(wǎng)頁的html源碼或js代碼中提取一些有趣的信息的瀏覽器插件，

包括請求的資源、接口的url，請求的ip和域名，泄漏的證件號、手機(jī)號、郵箱等信息。

該工具是用于快速在網(wǎng)頁的html源碼或js代碼中提取一些有趣的信息的瀏覽器插件，包括請求的資源、接口的url，請求的ip和域名，泄漏的證件號、手機(jī)號、郵箱等信息

ffuf-FUZZ爆破找到更多的js文件分析更多的信息（*）

https://github.com/ffuf/ffuf

https://wordlists.assetnote.io? ---字典下載(很豐富)

功能強(qiáng)大的模糊化工具，用它來FUZZ模糊化js文件。

• 語法：ffuf.exe -w js字典.txt -u https://m.xjggjy.com/FUZZ -t 200

Packer-Fuzzer-針對JS框架開發(fā)打包器Webpack檢測（*）

https://github.com/rtcatc/Packer-Fuzzer

一款針對Webpack等前端打包工具所構(gòu)造的網(wǎng)站進(jìn)行快速、高效安全檢測的掃描工具

• 語法：python packerfuzzer.py -u http://1.15.51.4/
• 使用方式：首先利用插件獲取查看雜項(xiàng)為Webpack的網(wǎng)站
  • 直接將網(wǎng)址粘貼至語法后面等待掃描結(jié)束
  • 在reports目標(biāo)目錄下，出現(xiàn)綜合網(wǎng)址，word等文件

一款針對Webpack等前端打包工具所構(gòu)造的網(wǎng)站進(jìn)行快速、高效安全檢測的掃描工具webpack是一個(gè)打包工具，他的宗旨是一切靜態(tài)資源皆可打包。有人就會(huì)問為什么要webpack？webpack是現(xiàn)代前端技術(shù)的基石，常規(guī)的開發(fā)方式，比如jquery,html,css靜態(tài)網(wǎng)頁開發(fā)已經(jīng)落后了?，F(xiàn)在是MVVM的時(shí)代，數(shù)據(jù)驅(qū)動(dòng)界面。webpack它做的事情是，分析你的項(xiàng)目結(jié)構(gòu)，找到JavaScript模塊以及其它的一些瀏覽器不能直接運(yùn)行的拓展語言（Scss，TypeScript等），并將其打包為合適的格式以供瀏覽器使用

思維導(dǎo)圖