HACKPROGLIB Telegram 4590
tgoop.com » United States » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram web » Post 4590
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Как находить скрытые параметры в JS-файлах

При тестировании часто нужно найти скрытые эндпоинты или параметры, которые не видны в интерфейсе. Один из рабочих способов — анализ JavaScript-файлов.

1️⃣ Собираем JS-файлы

Сначала выгрузим все JS с сайта. Самый простой вариант:


curl -s https://example.com | \
grep -oP '(?<=src=")[^"]+\.js' | sort -u


Но лучше расширить поиск через исторические данные:


echo example.com | waybackurls | grep "\.js" | sort -u > js-files.txt


2️⃣ Запускаем LinkFinder

Классический LinkFinder работает, но лучше использовать актуальный форк: 0xSobky/LinkFinder. Он стабильнее и поддерживает Python 3.

Пример запуска:


python3 linkfinder.py -i https://example.com/app.js -o cli


3️⃣ Автоматизируем для всех файлов


for url in $(cat js-files.txt); do
  python3 linkfinder.py -i $url -o cli
done | sort -u


4️⃣ Что ищем

Инструмент покажет строки вроде:


/api/v1/user?id=
/admin/upload?file=


Такие находки можно прогнать через Burp или ffuf, чтобы проверить уязвимости.

📌 Часто именно в старых JS скрыты забытые эндпоинты или dev-параметры.

📌 Альтернативы: subjs, waymore, JSParser.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
6👍2🔥1
www.tgoop.com/hackproglib/4590
1.2K views



tgoop.com/hackproglib/4590
Create:
Last Update:

Как находить скрытые параметры в JS-файлах

При тестировании часто нужно найти скрытые эндпоинты или параметры, которые не видны в интерфейсе. Один из рабочих способов — анализ JavaScript-файлов.

1️⃣ Собираем JS-файлы

Сначала выгрузим все JS с сайта. Самый простой вариант:


curl -s https://example.com | \
grep -oP '(?<=src=")[^"]+\.js' | sort -u


Но лучше расширить поиск через исторические данные:


echo example.com | waybackurls | grep "\.js" | sort -u > js-files.txt


2️⃣ Запускаем LinkFinder

Классический LinkFinder работает, но лучше использовать актуальный форк: 0xSobky/LinkFinder. Он стабильнее и поддерживает Python 3.

Пример запуска:


python3 linkfinder.py -i https://example.com/app.js -o cli


3️⃣ Автоматизируем для всех файлов


for url in $(cat js-files.txt); do
  python3 linkfinder.py -i $url -o cli
done | sort -u


4️⃣ Что ищем

Инструмент покажет строки вроде:


/api/v1/user?id=
/admin/upload?file=


Такие находки можно прогнать через Burp или ffuf, чтобы проверить уязвимости.

📌 Часто именно в старых JS скрыты забытые эндпоинты или dev-параметры.

📌 Альтернативы: subjs, waymore, JSParser.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tgoop.com/hackproglib/4590

View MORE
Open in Telegram


Telegram News

Date: |

Invite up to 200 users from your contacts to join your channel Step-by-step tutorial on desktop: Find your optimal posting schedule and stick to it. The peak posting times include 8 am, 6 pm, and 8 pm on social media. Try to publish serious stuff in the morning and leave less demanding content later in the day. Telegram has announced a number of measures aiming to tackle the spread of disinformation through its platform in Brazil. These features are part of an agreement between the platform and the country's authorities ahead of the elections in October. A Telegram channel is used for various purposes, from sharing helpful content to implementing a business strategy. In addition, you can use your channel to build and improve your company image, boost your sales, make profits, enhance customer loyalty, and more.
from us


✋ Как находить скрытые параметры в JS-файлах

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
web: 4590
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram web
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM American