SecretFinder 使用教程

最新推荐文章于 2024-08-18 10:16:59 发布
最新推荐文章于 2024-08-18 10:16:59 发布
阅读量365 收藏 7
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00691/article/details/141246663
版权

SecretFinder 使用教程

SecretFinderSecretFinder - A python script for find sensitive data (apikeys, accesstoken,jwt,..) and search anything on javascript files 项目地址:https://gitcode.com/gh_mirrors/se/SecretFinder

项目介绍

SecretFinder 是一个基于 Python 的脚本,专门用于在 JavaScript 文件中发现敏感数据,如 API 密钥、访问令牌、授权信息和 JWT 等。该工具结合了 jsbeautifier 来解析和分析 JavaScript 代码,并通过正则表达式来识别和提取敏感信息。

项目快速启动

安装

首先,克隆项目仓库到本地:

git clone https://github.com/m4ll0k/SecretFinder.git
cd SecretFinder

安装所需的依赖:

pip install -r requirements.txt

使用示例

以下是一个基本的使用示例,分析一个 JavaScript 文件并输出结果到命令行:

python3 SecretFinder.py -i https://example.com/1.js -o cli

如果需要分析整个域名及其 JavaScript 文件,可以使用以下命令:

python3 SecretFinder.py -i https://example.com/ -e

应用案例和最佳实践

应用案例

SecretFinder 可以用于以下场景:

  1. 安全审计:在进行安全审计时,帮助发现隐藏在 JavaScript 文件中的敏感信息。
  2. 漏洞挖掘:在漏洞挖掘过程中,辅助发现可能的安全漏洞。
  3. 数据泄露检测:在数据泄露事件发生后,帮助定位泄露源。

最佳实践

  • 定期扫描:定期对生产环境中的 JavaScript 文件进行扫描,确保没有敏感信息泄露。
  • 集成到 CI/CD:将 SecretFinder 集成到 CI/CD 流程中,实现自动化检测。
  • 配置忽略列表:使用 -g 参数忽略已知的第三方库文件,减少误报。

典型生态项目

SecretFinder 可以与其他安全工具和项目结合使用,形成更强大的安全检测生态:

  1. Burp Suite:结合 Burp Suite 进行更全面的渗透测试。
  2. OWASP ZAP:与 OWASP ZAP 结合,增强 Web 应用的安全扫描能力。
  3. GitLeaks:与 GitLeaks 结合,实现对代码仓库的敏感信息扫描。

通过这些工具的结合使用,可以构建一个全面的安全检测体系,有效预防和发现安全风险。

SecretFinderSecretFinder - A python script for find sensitive data (apikeys, accesstoken,jwt,..) and search anything on javascript files 项目地址:https://gitcode.com/gh_mirrors/se/SecretFinder

房迁伟
关注
python做一个本地搜索工具_SecretFinder:一款基于Python脚本的JavaScript敏感信息搜索工具...
weixin_32267059的博客
02-03 551
SecretFinder工具介绍SecretFinder是一款基于LinkFinder实现的Python脚本(如需BrupSuite版本,请点击这里),该工具的主要功能是帮助研究人员发现JavaScript文件中的敏感数据,例如apikeys、accesstoken、authorizations和jwt等。它通过将jsbeautifier for Python与大量的正则表达式结合使用来实现其功能...
渗透测试/漏洞赏金/src/黑客自学指南
2301_79205724的博客
08-30 669
在此方法论中我们的目标范围仅是一个域名或一个子域名,因此你应当针对你测试范围内的每一个不确定其web服务的域名,子域名或ip进行测试
SecretFinder - 一个用于查找敏感数据(apikeys, accesstoken,jwt,...)和搜索任何javascript文件的python脚本。-python
06-18
SecretFinder - 一个用于查找敏感数据(apikeys, accesstoken,jwt,...)和搜索任何javascript文件的python脚本。 关于 SecretFinder SecretFinder 是一个基于 LinkFinder(此处为 burpsuite 版本)的 Python 脚本,用于发现 JavaScript 文件中的敏感数据,如 apikeys、accesstoken、授权、jwt 等。 它通过将 jsbeautifier for python 与相当大的正则表达式结合使用来实现。 正则表达式由四个小的正则表达式组成。 这些负责查找和搜索 js 文件上的任何内容。 输出以 HTML 或纯文本形式给出。 帮助用法:SecretFinder.py [-h] [-e] -i INPUT [-o OUTPUT] [-r REGEX] [-b] [-c COOKIE] [-g IGNORE] [-n ONLY] [-H HEADERS ] [-p PROXY] 可选参数:-h, --help 显示此帮助信息并退出 -e, --extract 提取位
SecretFinder:SecretFinder-用于查找敏感数据(apikey,accesstoken,jwt等)的python脚本,并搜索javascript文件中的所有内容
03-18
关于SecretFinder SecretFinder是基于的python脚本,旨在发现JavaScript文件中的敏感数据,例如apikeys,accesstoken,authorization,jwt..etc等。它是通过将jsbeautifier for python与相当大的正则表达式结合使用来实现的。正则表达式由四个小的正则表达式组成。这些负责查找和搜索js文件中的任何内容。 输出以HTML或纯文本形式给出。 帮助 usage: SecretFinder.py [-h] [-e] -i INPUT [-o OUTPUT] [-r REGEX] [-b] [-c COOKIE] [-g IGNORE] [-n ONLY] [-H HEADERS] [-p PROXY] optional a
探索技术宝藏:SecretFinder - 深入挖掘隐藏秘密的利器
gitblog_00045的博客
04-25 327
探索技术宝藏:SecretFinder - 深入挖掘隐藏秘密的利器 SecretFinderSecretFinder - A python script for find sensitive data (apikeys, accesstoken,jwt,..) and search anything on javascript files 项目地址:https://gitcode.com/gh_...
js信息收集工具
mingyqf的博客
01-24 2278
1.网站的url连接写到js里面 2.js的api接口 里面包含用户信息 比如 账号和密码 1.JSFinder JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。 官网: https://github.cn/Threezh1/JSFinder 快速访问: https://gitee.com/kn1fes/JSFinder 使用技巧 python3 JSFinder.py -u http://www.xx.com python3 JSFinder.py -u http://www
SecretFinder:发现JavaScript文件中的敏感数据
gitblog_00719的博客
08-18 304
SecretFinder:发现JavaScript文件中的敏感数据 SecretFinderSecretFinder - A python script for find sensitive data (apikeys, accesstoken,jwt,..) and search anything on javascript files 项目地址:https://gitcode.com/gh_...
PyPI 官网下载 | secretfinder-0.2.1.tar.gz
02-13
要使用`secretfinder`库,开发者首先需要通过Python的包管理器pip进行安装。在命令行中输入以下命令: ``` pip install secretfinder ``` 安装完成后,开发者就可以在Python脚本中导入并使用`secretfinder`的功能...
findsomething使用方法
09-21
findsomething是一款工具,用于路径查询和敏感信息检测。...请注意,findsomething是一款开源工具,你可以在其GitHub页面(https://github.com/m4ll0k/SecretFinder)上找到更多关于使用和配置的信息。
史上最全信息收集-渗透测试
zkaqlaoniao的博客
10-27 1082
渗透的本质是信息收集,信息收集也叫做资产收集。信息收集是渗透测试的前期主要工作,是非常重要的环节,收集足够多的信息才能方便接下来的测试,信息收集主要是收集网站的域名信息、子域名信息、目标网站信息、目标网站真实IP、敏感/目录文件、开放端口和中间件信息等等。通过各种渠道和手段尽可能收集到多的关于这个站点的信息,有助于我们更多的去找到渗透点,突破口。
js敏感信息泄露检测工具
qq_54030686的博客
05-26 6720
本篇博客主要对四个工具,findsomething,jsfinder,LinkFinder,SecretFinder四款工具进行使用,本篇博客并未有任何贬低工具的意味,正则表达式不一样,获取到的结果肯定会有所偏差,不同网址下也会有不用的效果,以下仅供参考,不喜可联系进行删除 一下均已https://security.immomo.com/blog/145该网址进行检测 (也就是出品findsomething这款工具的师傅) 1,findsomething共检测出来7个路径 https://github.co
【工具】Js敏感信息扫描器
信安是不可或缺的一部分!
04-09 2741
在做JS漏洞挖掘的时候,发现很多工具不是太好用,在信息收集的时间花费很多,自己就像写一个JS信息收集的工具,使用python开发了一个简单的收集工具,其中仿照JSFinder工具的功能,做了信息针对性优化,先做了一个测试版的工具,此工具带有GUI的界面,欢迎交流。在开发时采用tkinter开发的GUI界面,可以探测网站上的 JavaScript 文件,并检查它们是否包含敏感信息。该应用程序使用 requests、threading、tkinter、BeautifulSoup 和 selenium 等库实现。
【渗透测试】信息搜集总结
weixin_52450702的博客
01-17 4254
零零散散的发布过很多文章了,但是也没有完整的总结一下,今天就从信息搜集入手,系统的总结一下。一方面可以巩固自己的基础,作为自己的字典随用随查,另一方面希望对大家的学习和工作起到帮助作用。按照这个过程基本就可以较为完整地完成信息搜集了。下文中最常用的方法和网站我会做标红处理。子域名搜集在线网站搜集收集子域名可以扩大渗透范围,获得更多有关目标公司的资产信息,同一域名下的二级域名都属于目标范围,表现形式:域名加前缀,例如:域名zkaq.cn加前缀,。
weixin123在线订餐系统的设计与实现+springboot.rar
09-13
所有源码,都可正常运行
weixin262高校校园交友微信小程序springboot.rar
最新发布
09-13
所有源码,都可正常运行
基于java的视频网站系统的设计与实现.docx
09-13
基于java的视频网站系统的设计与实现.docx
weixin153实验室管理微信小程序+ssm.rar
09-13
所有源码,都可正常运行
基于java的宠物商城网站设计与实现.docx
09-13
基于java的宠物商城网站设计与实现.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

房迁伟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值