Jsmoke 🚬🚬 by Yn8rt
该插件由 Yn8rt师傅 开发,插件可以理解为主动版的hae和apifinder,因为其中的大多数规则我都引用了,当你认为当前页面,以及其调用的js文件存在敏感信息的时候,可以用它来帮你打开突破口,速度很快,非常方便,也比较直观,该插件用于检测网页中的敏感信息泄露,包括但不限于 API 密钥、邮箱、手机号等。通过对当前页面的 HTML 和 JavaScript 文件进行扫描,帮助开发者及时发现潜在的安全隐患。
使用方式
先解压下载的压缩包
然后将该文件夹拖入谷歌浏览器中即可
界面预览
在访问某界面使用时打开插件,然后可以选择两中检测方式
当前页面检测:
深层js检测:
功能特性
-
当前页面检测:扫描当前页面的 HTML 内容,检测是否存在敏感信息泄露。
-
深层 JS 检测:分析页面引入的 JavaScript 文件,查找可能的敏感信息泄露。
支持的敏感信息类型
- API 密钥 :如
api_key=xxx或API_KEY=xxx。 - 邮箱地址 :如
user@example.com。 - 手机号 :如
+86 138 0000 0000。 - 身份证号 :如
身份证号:123456789012345678。 - 阿里云 AK :如
LTAIxxxxxxxxxxxx。 - 腾讯云 AK :如
AKIDxxxxxxxxxxxx。 - 百度云 AK :如
AKxxxxxxxxxxxx。 - 京东云 :如
JDC_XXXXXXXXXXXXXXXX。 - 火山引擎 :如
AKLTxxxxxxxxxxxx。 - 密码 :如
password=xxx或passwd=xxx。 - 用户名 :如
username=xxx或user=xxx。