JSSS-Find: 智能JS資產(chǎn)掃描與測(cè)試工具 請(qǐng)勿利用文章內(nèi)的相關(guān)技術(shù)從事非法滲透測(cè)試,由于傳播��、利用此文所提供的信息而造成的任何直接或者間接的后果及損失�,均由使用者本人負(fù)責(zé),作者不為此承擔(dān)任何責(zé)任�����。工具和內(nèi)容均來自網(wǎng)絡(luò)����,僅做學(xué)習(xí)和記錄使用,安全性自測(cè)�����,如有侵權(quán)請(qǐng)聯(lián)系刪除�����。
? 讓JavaScript資產(chǎn)分析變得簡(jiǎn)單而強(qiáng)大 ??? 一款基于AI技術(shù)的JavaScript資產(chǎn)掃描與安全分析工具���,專注于快速發(fā)現(xiàn)和評(píng)估Web應(yīng)用的安全漏洞 ?? 工具概述JSSS-Find 是一款專門用于JavaScript資產(chǎn)發(fā)現(xiàn)和安全分析的自動(dòng)化工具�����。它通過智能爬取��、深度解析和AI輔助分析����,幫助安全研究人員快速識(shí)別Web應(yīng)用中的潛在安全風(fēng)險(xiǎn)。 重要功能更新記錄 v8.6:
v8.3: 支持解析wsdl接口并測(cè)試
v8.1: 支持解析swagger接口并測(cè)試�、優(yōu)化HTML報(bào)告
v8.0: 支持sock代理��、支持User-Agent輪詢反爬蟲機(jī)制�、支持vite框架提取����,優(yōu)化參數(shù)名提取
v7.7: -scanxfuzz(scanx接口測(cè)試) -scanxvul(scanx漏洞測(cè)試)
v7.5: -uu參數(shù)多URL掃描,以第一個(gè)URL為基準(zhǔn)進(jìn)行后續(xù)測(cè)試保證一致性,適用于前后端分離系統(tǒng)的測(cè)試
v7.4: -fd參數(shù)接口發(fā)現(xiàn)功能�,啟用接口發(fā)現(xiàn)模式��,檢測(cè)接口響應(yīng)中的HTML/JS資源并二次爬取��,適用于Vue的測(cè)試
v7.3: -det參數(shù)POC探測(cè)掃描
v7.0: 支持聯(lián)動(dòng)Scanx自動(dòng)化接口測(cè)試與漏洞測(cè)試、新增參數(shù)智能提取尋找高價(jià)值參數(shù)名并自動(dòng)fuzz
v6.5: https://mp.weixin.qq.com/s/WqRqWhd8J4khAsKJldwZeg
v6.2: api_report.html報(bào)告中新增AI上下文理解功能�����,深度理解JavaScript代碼片段,智能推斷API參數(shù)和用法
V6.0: 新增了「AI智能分析模式」,直接用AI分析復(fù)雜JS邏輯,自動(dòng)構(gòu)造出完整JS文件路徑���,告別手動(dòng)拼接
V5.0: https://mp.weixin.qq.com/s/AVyjVG0PZfZ5n-Ddv__q1g
工具使用   核心優(yōu)勢(shì) | |
|---|
| 集成DeepSeek等AI模型��,智能推斷接口參數(shù)和安全風(fēng)險(xiǎn) | | 多線程并發(fā)處理��,支持大規(guī)模資產(chǎn)快速掃描 | | 精美的HTML報(bào)告�,支持交互式分析和數(shù)據(jù)導(dǎo)出 | | YAML配置文件�����,支持自定義掃描策略和測(cè)試規(guī)則 | | 接口提取����、參數(shù)識(shí)別���、敏感信息發(fā)現(xiàn)���、漏洞檢測(cè) |
? 核心特性1. 全面的資產(chǎn)發(fā)現(xiàn)┌─────────────────────────────────────────────────────────┐
│ JS文件爬取 │
│ ├─ 遞歸抓取所有JS資源 │
│ ├─ 支持sourcemap解析 │
│ ├─ 智能去重和過濾 │
│ └─ 多線程并發(fā)下載 │
└─────────────────────────────────────────────────────────┘
2. 智能接口提取- ? 正則模式:精準(zhǔn)匹配各種API路徑格式
- ? Vue路由:自動(dòng)識(shí)別Vue Router配置
- ? React路由:支持React Router解析
- ? RESTful API:識(shí)別標(biāo)準(zhǔn)RESTful接口
- ? GraphQL:支持GraphQL endpoint發(fā)現(xiàn)
3. 敏感信息識(shí)別?? 支持識(shí)別的敏感信息類型:
├─ API密鑰 (AWS/阿里云/騰訊云等)
├─ 數(shù)據(jù)庫憑證
├─ 內(nèi)網(wǎng)IP地址
├─ 郵箱和手機(jī)號(hào)
├─ 身份證號(hào)
├─ JWT Token
└─ 私鑰和證書
4. 參數(shù)智能提取 ??支持9種JavaScript參數(shù)提取場(chǎng)景: | | |
|---|
| const user = { userId: 123 } | | | const {id, name} = user | | | const {profile: {email}} = data | | | function getUser(userId, token) | | | const apiKey = 'xxx' | | | axios.post('/api', {name: 'test'}) | | | /api?page=1&size=10 | | | config: { timeout: 5000 } | | | /user/:userId/profile | |
5. 自動(dòng)化Fuzz測(cè)試- HTTP方法測(cè)試(GET/POST/PUT/DELETE/PATCH/HEAD/OPTIONS)
- 參數(shù)化請(qǐng)求(自動(dòng)填充參數(shù))
6. 漏洞檢測(cè)插件?? 項(xiàng)目地址https://github.com/kk12-30/JSSS-Find/tree/main
|
