DesJsFinder被动JS分析 + 框架识别 + 主动Fuzz + 响应指纹 — 红队API挖掘利器

工具介绍

DesJsFinder被动JS分析 + 框架识别 + 主动Fuzz + 响应指纹 --- 红队API挖掘利器

功能

功能 说明
被动发现 浏览网页时自动拦截JS资源,提取所有隐藏API路径,图标实时显示发现数量
框架识别 自动识别芋道Yudao / Spring Boot / ThinkPHP / ASP.NET / Laravel / Shiro / Vue / React 等10种框架
路径分类 按风险自动标注:认证鉴权 / 管理后台 / 交易支付 / 用户管理 / 数据查询
一键Fuzz 框架字典 + 路径变形 + 参数组合 + 并发探测,过滤404,只留有效接口
响应指纹 16种指纹自动识别:Actuator暴露、SQL报错、凭据泄露、ThinkPHP调试等
Token注入 支持自定义Header,一键带Token探测所有接口
响应预览 点击Fuzz结果行展开查看响应体,JSON自动格式化
导出字典 一键导出命中接口或完整字典为txt文件

安装使用

复制代码
git clone https://github.com/Dest1ny-Sec/DesJsFinder.git

Chrome → chrome://extensions → 开启"开发者模式" → "加载已解压的扩展程序" → 选择项目文件夹 → 打开任意网站即可。

被动模式(自动)

打开目标站 → 插件图标实时显示API数量 → 点图标查看详情

  • 自动拦截页面所有JS文件(含内联脚本)
  • 正则提取API路径
  • 按风险等级排序(CRITICAL排最前面)

主动Fuzz

  1. 点击 Fuzz 按钮
  2. 插件自动生成字典(框架模板 + 路径变形 + 参数组合 + 前缀推断)
  3. 并发探测每个接口,过滤404和SPA噪音
  4. 点击任意结果行展开查看响应内容

带Token探测

在输入框粘贴 Authorization: Bearer xxx,Fuzz时所有请求自动带Token。

支持多个Header,每行一个:

复制代码
Authorization: Bearer eyJhbGciOi...
Cookie: JSESSIONID=abc123
X-App-Id: sephora

导出

  • 命中 --- 导出Fuzz确认存在的接口列表
  • 字典 --- 导出完整字典(可用于Burp/SQLMap)

框架识别

框架 识别特征 字典特点
芋道Yudao /admin-api/, VITE_GLOB_API_URL_PREFIX 80+ 接口(system/user/page, infra/file/upload, bpm/task/my...)
Spring Boot Whitelabel Error Page, actuator actuator完整端点 + swagger + druid
ThinkPHP thinkphp, runtime/log 日志泄露 + RCE路径
ASP.NET __VIEWSTATE, IIS web.config + elmah.axd + trace.axd
Laravel csrf-token, XSRF-TOKEN /.env + storage/logs + telescope
Vue/React vue, react-dom, webpackJsonp /api/v1/ /api/v2/ 常见路径

响应指纹

指纹 风险 示例
Actuator暴露 CRITICAL {"_links":{"heapdump"...
SQL错误 CRITICAL SQL syntax, mysql_fetch
凭据泄露 CRITICAL jdbc:mysql://, mongodb://
ThinkPHP报错 CRITICAL ThinkPHP堆栈信息
Spring错误页 HIGH Whitelabel Error Page
API文档 HIGH swagger, api-docs
神策Debug HIGH Sensors Analytics is ready
Git泄露 CRITICAL .git/HEAD

工具下载

复制代码
https://github.com/Dest1ny-Sec/DesJsFinder/tree/main
相关推荐
Highcharts.js4 小时前
商业授权与开源图表库如何选择?
前端·javascript·开源·highcharts·chart.js·echarts.js
一缕清烟在人间5 小时前
鸿蒙应用开发实战【27】— DatabaseService 数据库初始化
javascript·数据库·harmonyos·鸿蒙系统
研☆香5 小时前
JavaScript 绘制简单不规则图形:三角形与五角星实战教程
开发语言·javascript·ecmascript
想要成为糕糕手5 小时前
NO.48 旋转图像 —— LeetCode 热题 100 面试导向深度解析
javascript·算法·面试
铁皮饭盒5 小时前
Bun 制作 IDE 的第一个坑:Electrobun 模拟缩放和关闭,没想到这么难
javascript
JieE2125 小时前
LeetCode 138 随机链表的复制|两种解法详解(哈希表 + 原地 O (1) 空间)
javascript·算法·面试
用户852495071845 小时前
RAG实战:从零打造智能知识库问答系统
javascript
秋天的一阵风6 小时前
🔥 ECMAScript 2026 来了!使用这些新特性,JS 代码直接少一半
前端·javascript·ecmascript 6
前端进阶之旅6 小时前
Next.js 16.3 新特性全解析 AI 驱动开发与 Instant Navigations 实战指南
开发语言·javascript·人工智能
Cobyte6 小时前
编译解析器的基础——状态模式与状态机的原理
前端·javascript·vue.js