HACKPROGLIB Telegram 4344
tgoop.com » United States » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram web » Post 4344
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
😎 Как анализировать JavaScript-файлы в поисках уязвимостей

JavaScript-файлы — кладезь информации для хакера. В них часто прячутся: API-ключи, токены, внутренние маршруты и многое другое. Разбираемся по шагам:

1. Находим JavaScript-файлы

🔘 DevTools → Network → фильтр JS

🔘 Поиск в HTML: <script src=...>

🔘 Через robots.txt, sitemap.xml — могут быть нестандартные пути

🔘 Массовый сбор:


gau example.com | grep "\.js"
subjs -i example.com


2. Красиво форматируем код

🔘 Сохраняем файл:


curl -s https://example.com/static/app.js -o app.js


🔘 Преобразуем в читаемый вид:


js-beautify app.js -o app_pretty.js


3. Ищем ключи и токены

🔘 Регулярный поиск чувствительных строк:


grep -Ei 'apikey|token|secret|authorization|bearer' app_pretty.js


⚠️ Обратите внимание на: firebaseConfig, AWS.config.update, process.env, window._env_, accessKey, clientSecret

Также можно подключить:


trufflehog --regex --entropy=True --json app_pretty.js


4. Извлекаем внутренние API и маршруты

🔘 Подозрительные запросы:


fetch("/api/internal/user/settings")
axios.post("/admin/config»)


⚠️ Полезные шаблоны:

— /v1/private/, /internal/, /debug/

— /graphql, /admin/, /api/secret

— нестандартные порты: 3000, 5000, 8080

🔘 Используйте LinkFinder:


python3 linkfinder.py -i app.js -o cli


5. Анализируем бизнес-логику

🔘 Примеры опасных конструкций:


if (user.role === 'admin') { ... }       
if (!user.isLoggedIn) { return; }


🔘 Смотрите, как собираются токены:


headers: {
  Authorization: `Bearer ${localStorage.getItem("jwt")}`
}


6. Ищем DOM-based XSS

🔘 Уязвимые конструкции:


element.innerHTML = location.hash;
document.write(decodeURIComponent(param));


💡 JS-файлы — это раскрытая подноготная фронта. Один пропущенный файл может стоить компании доступа к внутреннему API, админке или ключам.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍2👏1
www.tgoop.com/hackproglib/4344
446 views



tgoop.com/hackproglib/4344
Create:
Last Update:

😎 Как анализировать JavaScript-файлы в поисках уязвимостей

JavaScript-файлы — кладезь информации для хакера. В них часто прячутся: API-ключи, токены, внутренние маршруты и многое другое. Разбираемся по шагам:

1. Находим JavaScript-файлы

🔘 DevTools → Network → фильтр JS

🔘 Поиск в HTML: <script src=...>

🔘 Через robots.txt, sitemap.xml — могут быть нестандартные пути

🔘 Массовый сбор:


gau example.com | grep "\.js"
subjs -i example.com


2. Красиво форматируем код

🔘 Сохраняем файл:


curl -s https://example.com/static/app.js -o app.js


🔘 Преобразуем в читаемый вид:


js-beautify app.js -o app_pretty.js


3. Ищем ключи и токены

🔘 Регулярный поиск чувствительных строк:


grep -Ei 'apikey|token|secret|authorization|bearer' app_pretty.js


⚠️ Обратите внимание на: firebaseConfig, AWS.config.update, process.env, window._env_, accessKey, clientSecret

Также можно подключить:


trufflehog --regex --entropy=True --json app_pretty.js


4. Извлекаем внутренние API и маршруты

🔘 Подозрительные запросы:


fetch("/api/internal/user/settings")
axios.post("/admin/config»)


⚠️ Полезные шаблоны:

— /v1/private/, /internal/, /debug/

— /graphql, /admin/, /api/secret

— нестандартные порты: 3000, 5000, 8080

🔘 Используйте LinkFinder:


python3 linkfinder.py -i app.js -o cli


5. Анализируем бизнес-логику

🔘 Примеры опасных конструкций:


if (user.role === 'admin') { ... }       
if (!user.isLoggedIn) { return; }


🔘 Смотрите, как собираются токены:


headers: {
  Authorization: `Bearer ${localStorage.getItem("jwt")}`
}


6. Ищем DOM-based XSS

🔘 Уязвимые конструкции:


element.innerHTML = location.hash;
document.write(decodeURIComponent(param));


💡 JS-файлы — это раскрытая подноготная фронта. Один пропущенный файл может стоить компании доступа к внутреннему API, админке или ключам.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tgoop.com/hackproglib/4344

View MORE
Open in Telegram


Telegram News

Date: |

Telegram offers a powerful toolset that allows businesses to create and manage channels, groups, and bots to broadcast messages, engage in conversations, and offer reliable customer support via bots. While the character limit is 255, try to fit into 200 characters. This way, users will be able to take in your text fast and efficiently. Reveal the essence of your channel and provide contact information. For example, you can add a bot name, link to your pricing plans, etc. A few years ago, you had to use a special bot to run a poll on Telegram. Now you can easily do that yourself in two clicks. Hit the Menu icon and select “Create Poll.” Write your question and add up to 10 options. Running polls is a powerful strategy for getting feedback from your audience. If you’re considering the possibility of modifying your channel in any way, be sure to ask your subscribers’ opinions first. Matt Hussey, editorial director of NEAR Protocol (and former editor-in-chief of Decrypt) responded to the news of the Telegram group with “#meIRL.” Read now
from us


😎 Как анализировать JavaScript-файлы в поисках уязвимостей

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
web: 4344
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram web
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM American