node.js漏洞总结

js开发的web应用和php/Java最大的区别就是js可以通过查看源代码的方式查看到编写的代码,但是php/Java的不能看到,也就是说js开发的web网页相当于可以进行白盒测试。

流行的js框架有:

bash 复制代码
1. AngularJS
2. React JS
3. Vue
4. jQuery
5. BackboneJS
6. NodeJS
7. Ember
8. Meteor
9. Polymer
10.Aurelia 

那怎么判断一个网站是不是由js开发的呢:

1.wappalyzer:直接下载后解压用谷歌浏览器导入就可以用,可以判断一个网站是不是js框架,例如随便打开一个要测试的网站,然后右上角点击插件查看:

可以看到此网站用到的js框架,确定为js框架搭建,第一步就完成。

2.FindSomething-master插件:自动爬取当前网站存在的js路径以及敏感信息,例如:

自动找到js路径以及敏感信息,我们对其拼接就可以尝试发现js未授权等漏洞。

以上插件下载就导入使用,简单方便。

  1. JSFinder :一款用作快速在网站的js文件中提取URL,子域名的工具。

    下载地址:https://github.com/Threezh1/JSFinder

    使用方法:python JSFinder.py -u 目标地址

  2. URLFinder :更专注于提取页面中的JS与URL链接,提取的数据更完善且可查看状态码、内容大小、标题等

    下载地址:https://github.com/pingc0y/URLFinder

    使用方法:

    URLFinder.exe -u http://www.baidu.com -s all -m 2

    多个url:

    URLFinder.exe -s all -m 2 -f url.txt -o d:/

  3. bp中也有相关的插件,jsfinder

  4. 另外注意:Webpack 是一个开源的JavaScript模块打包器,它可以将许多模块按照依赖关系打包成一个或多个文件。

相关推荐
TE-茶叶蛋2 小时前
Node.js-Phase 1 学习总结:CLI 文件管理系统
学习·node.js
前端之虎陈随易10 小时前
编程语言级别的Skill市场,AI Agent 的未来形态
前端·vue.js·人工智能·typescript·node.js
菩提小狗18 小时前
每日安全情报报告 · 2026-07-04
网络安全·漏洞·cve·安全情报·每日安全
meilindehuzi_a1 天前
从零开始:用原生 Node.js 徒手拆解 RAG 与向量检索底层原理
node.js·rag
炒毛豆1 天前
ai全栈-node.js相关的学习之路(草稿版)
学习·node.js
meilindehuzi_a1 天前
解密 MCP 协议:如何用 Node.js 从零手写一个本地文件读取 MCP 服务器
运维·服务器·node.js
菩提小狗2 天前
每日安全情报报告 · 2026-07-03
网络安全·漏洞·cve·安全情报·每日安全
菩提小狗2 天前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全
hoLzwEge4 天前
pnpm vs npm:新一代包管理器的范式革命
前端框架·node.js
麻辣凉茶4 天前
给阿嬤一封来自云端的信(上)
前端·node.js