【网络安全 | 信息收集】JS文件信息收集工具LinkFinder安装使用教程

文章目录

前言

JavaScript文件可能会泄露敏感信息,如注释中的机密信息、内部IP地址,以及包含未授权访问或其他漏洞的URL。手动检查这些信息效率低下,而该工具------LinkFinder,可用于自动收集JavaScript文件中的信息。

安装教程

安装地址:

复制代码
https://github.com/GerbenJavado/LinkFinder?tab=readme-ov-file

下载ZIP文件:

解压完成后在当前目录进入cmd:

LinkFinder 依赖于argparse和jsbeautifierPython 模块,使用以下命令进行下载:

复制代码
pip3 install -r requirements.txt

模块下载成功后即可使用。

另一种安装方法是:

复制代码
$ git clone https://github.com/GerbenJavado/LinkFinder.git
$ cd LinkFinder
$ python setup.py install

加上解决依赖关系命令:

复制代码
pip3 install -r requirements.txt

使用教程

语法:

简写 含义 描述
-i - 输入 输入:URL、文件或文件夹。对于文件夹,可以使用通配符(例如"/*.js")。
-o - 输出 "cli"打印到 STDOUT,否则保存 HTML 文件的位置默认:output.html
-r --正则表达式 用于针对找到的端点进行过滤的正则表达式(例如 ^/api/)
-d - domain 分析整个域时切换使用,枚举所有找到的 JS 文件。
-b --burp 输入包含多个 JS 文件的 Burp"保存所选"文件时切换使用
-C - cookie 在请求中添加cookie
-H - help 显示帮助消息并退出

举例:

例子

1、在某页面的 JavaScript 文件中查找端点并将 HTML 结果输出到 results.html 的最基本用法:

py 复制代码
python linkfinder.py -i https://example.com/example.js -o results.html

2、CLI/STDOUT 输出(不使用 jsbeautifier,十分迅速):

py 复制代码
python linkfinder.py -i https://example.com/1.js -o cli

举例如下:

复制JS文件对应的URL,加入到命令行中

bash 复制代码
python linkfinder.py -i https://xxxxx.xxxxx.net/tool.min.js -o cli

由上下图可以看到,收集到的信息直接回显在cmd中:

3、分析整个域及其 JS 文件:

py 复制代码
python linkfinder.py -i https://example.com -d

4、Burp 输入(在目标中选择要保存的文件,右键单击,Save selected items将该文件作为输入):

py 复制代码
python linkfinder.py -i burpfile -b

先保存条目:

再在命令中添加在Burp保存的文件路径:

5、枚举 JavaScript 文件的整个文件夹,同时查找以 /api/ 开头的端点,最后将结果保存到 results.html:

py 复制代码
python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html
相关推荐
林恒smileZAZ1 小时前
`Array(100).map(() => 1)` 为什么全为空?
前端·javascript
小李@Free2FA2 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
云祺vinchin3 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
laowang3573 小时前
依赖故障时,日志体系需要埋哪些关键节点才能快速定位是安装失败、解析失败还是运行时缺失?
前端·javascript·vue.js·webpack·node.js
chengbei124 小时前
SoloXSS:一款现代化的自托管 XSS平台
web安全·xss漏洞·xss平台
༄沐࿆风࿆࿆5 小时前
JavaScript函数完全指南:从基础语法到闭包原理与应用实战
开发语言·javascript
finyouIT6 小时前
锚点实现了点击导航平滑滚动到页面指定位置的三种方法
javascript·css
一楼的猫6 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学6 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Kyrie6787 小时前
Januscape:潜伏 16 年的 KVM 虚拟机逃逸漏洞
安全·kvm