关于.js文件敏感信息泄露

最新推荐文章于 2024-05-16 09:18:05 发布
最新推荐文章于 2024-05-16 09:18:05 发布
阅读量1.5k 收藏 5
点赞数
文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38914940/article/details/127757253
版权

js文件作用

js文件是一种脚本,可以控制页面达到一些动态效果(控制页面行为的)

javascript(.js)文件存储客户端代码

如何查找.js文件

手动:

查看源代码,在HTML中查找“.js”,

你在找js文件里的什么?

  • 新端点(路径/子域名)

  • 新参数

  • 隐藏的功能,在网络应用程序上不可用,但该功能的代码存在,仅限高级版?你可以与他进行非高级交互吗?(越权)

  • api键

  • 开发人员评论

(例如 // 这是一个开发评论或 /* 这是一个多行开发评论 */)有时可以包含诸如代码何时发布或发生的任何更新之类的信息(比如开发人员会注释关于 XSS 过滤,这有助于我了解他们如何修复它并绕过)。

关键字

js代码往往很多,你不用通读他,只需要知道查找哪些关键字可以提取有用的信息

关键字 pathname

要查找的其他常见关键字: url:, POST, api, GET, setRequestHeader, send ,headers, onreadystatechange, var {xyz} = , getParameter(), parameter, .theirdomain.com, apiKey.
 

这些关键字将帮助我们扩大攻击面,但是 postMessage 错误、DOM XSS 和重定向呢? 以下是一些需要注意的示例关键字: postMessage, messageListenger, .innerHTML, document.write(, document.cookie, location.href, redirectUrl, window.hash. 您阅读一些 javascript 文件的次数越多,您可能会发现更多关于您的目标和 API 端点的某些模式(例如端点的版本或名称)的信息。

我们能够发现新的端点(这会导致更多的 .js 文件)以及围绕目标的更多知识。 需要注意的一件事是不要浪费时间浏览诸如 jquery.js 之类的东西。 

查找 .js 文件并阅读它们的主要目的是扩展您的攻击面通过发现 端点、参数、密钥、接收器 (dom xss) 和更多关于目标的整体知识 。 例如,如果您知道他们严重依赖 javascript 文件,那么您可以设置一个脚本来自动检测任何更改并立即收到有关新端点的通知!

自动读取 .js 文件

GetJS by 003random:https://github.com/003random/getJS

joeldeleep/master:       GitHub - jobertabma/relative-url-extractor: A small tool that extracts relative URLs from a file.

GoLinkFinder:             GitHub - 0xsha/GoLinkFinder: A fast and minimal JS endpoint extractor

JSFinderPlus.py

SkyerL
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
js jsencrypt.min.js 文件
09-25
这种方案常用于登录验证、支付信息传输等场景,有效防止了中间人攻击和数据泄露风险。开发者在使用时应确保正确处理公钥和私钥,避免私钥泄漏导致的安全问题。同时,考虑到加密性能和计算复杂性,RSA通常适用于小...
信息泄露漏洞的JS整改方案
ergdfhgerty的博客
04-09 524
针对线上生产环境中的JS代码,我们介绍了去除注释、变量更名和代码混淆等多种整改方法。在选择合适的方法时,需要权衡安全性与可维护性之间的关系,并根据实际需求做出决策。在开发环境中保留注释可以提高代码的可读性和维护性,但在生产环境中应尽量去除注释以减少信息泄露的风险。通过以上整改方法,我们可以有效地提升系统的安全性,防范JS信息泄露漏洞的风险。
js敏感信息扫描
qq_32947907的博客
01-30 1056
信息收集中,除了常规的方式以外,还可以从js中进行收集,一些隐藏页面往往就会隐藏在js中。从js中可以收集到一些url以及子域名的信息。有时js中还会存在跟用户认证相关的信息。下面介绍几个从js中收集敏感信息的工具。
JavaScript 实现敏感信息脱敏
最新发布
前端开发
05-16 320
JavaScript 实现敏感信息脱敏
JS敏感信息泄露:不容忽视的WEB漏洞
swordheart的博客
04-24 4957
0x00 前言 这段时间jsonp漏洞再一次证明了一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞。 0x01 漏洞成因 JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务
js 文件中含有敏感信息(ip地址等)如何处理
热门推荐
叮咚侠的博客
02-28 1万+
例如明码js文件内容如下: var Setup_Config={'WebName':'鍖椾含涓婁簯CMS绯荤粺','WebUrl':'http:\/\/192.168.1.118\/','WebTitle':'鍖椾含涓婁簯CMS绯荤粺','WebKeywords':'鍖椾含涓婁簯CMS绯荤粺','WebDescription':'鍖椾含涓婁簯CMS绯荤粺','CopyRight':'Copy
web敏感信息泄漏(36)
yyj1781572的博客
03-31 1814
信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护,能够直接访问。就web来说这种类型的问题往往会带来巨大的危害,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。通过该实验了解常见的web敏感信息泄漏漏洞原理,掌握常见的web信息泄漏漏洞的利用和漏洞防护。
JS中常见的内存泄漏及识别方式
llllllhy_的博客
02-16 1555
JavaScript中常见的内存泄漏及识别方式
web渗透测试----10、信息泄露
七天
02-25 4205
文章目录一、phpinfo()信息泄露1、操作系统版本(system)2、php扩展的路径(extension_dir)3、web根目录4、绝对路径5、支持的程序6、泄露真实IP7、敏感配置8、gopher9、fastcgi二、js敏感信息泄露1、JS文件泄露后台管理敏感路径及API2、页面内JS泄露http-only保护的cookie3、页面内JS以及AJAX请求泄露用户敏感信息三、Web源码泄露1、git源码泄露2、svn源码泄露3、hg源码泄漏4、CVS泄露5、Bazaar/bzr泄露6、网站备份压缩
【漏洞实战】某网站 JS 文件泄露导致拿到服务器权限
瓦罗兰特顶级C位的博客
05-24 585
【漏洞实战】某网站 JS 文件泄露导致拿到服务器权限
jsencrypt.js 下载jsencrypt.js 下载
01-17
这个库非常实用,特别是在处理敏感数据,如用户密码或身份验证信息时,可以保护这些数据在传输过程中的安全性。下面将详细介绍JSencrypt.js的主要功能、原理以及如何使用。 ### RSA加密算法简介 RSA是一种非对称...
小程序预览PDF文件插件Pdf.js
11-20
可以从Github或者其他可靠的源下载最新版本的Pdf.js库,包含的文件通常有`LICENSE`(授权协议)、`web`(包含运行所需的资源文件)和`build`(编译后的JavaScript文件)。在本例中,我们关注的是`web`目录下的`pdf....
tesseract.js-master.zip
06-29
- **隐私问题**:处理用户上传的图像时,应确保遵循隐私政策,避免敏感数据泄露。 总之,Tesseract.js作为JavaScript社区的一个强大工具,极大地拓宽了OCR技术的应用领域,使得前端开发者也能轻松实现文本识别功能...
aesJS.zip,包含aes.js和crypto-js.js
06-02
总的来说,`aes.js` 和 `crypto-js.js` 为前端开发人员提供了一种简单而强大的方式来保护用户数据,通过在本地加密敏感信息,降低数据泄露的风险。了解并熟练使用这些库,可以帮助开发者构建更加安全的Web应用。
以“防方视角”观JS文件信息泄露
Boom!脑洞大爆炸的博客
02-08 470
以“防方视角”观JS文件信息泄露
JS敏感信息泄露到GETSHELL
qq_50854662的博客
09-28 495
前言 小弟新手,大佬勿喷,文章有何不妥,还望大佬们斧正。 正文 前端时间打HW,拿到一个IP,先在FOFA上搜一下 发现这个IP现在开放了三个端口,分别是86,83,82对应不同的后台管理系统 先从86端口这个系统入手,界面如图 没有验证码!我喜欢,掏出我的大宝贝300万大字典对着admin就是一顿爆,然而现实是残酷的。。。 搞不到弱密码,随手查看了一下源代码,发现这里登录成功跳转index.html 直接URL输入xxx.xxx.xxx.xxx:86/index.
前端js文件敏感数据脱敏或删除
07-13
前端 JavaScript 文件中,保护敏感数据的一种常见方法是进行脱敏或删除。这样可以确保敏感信息不会被泄露,同时保护用户的隐私。 以下是一些常见的方法: 1. 脱敏:将敏感数据转换为不可识别的形式。例如,对于手机号码,可以只显示前三位和后四位,中间的数字用星号(*)替代。对于邮箱地址,可以隐藏部分字符或用星号替代。 2. 删除:如果敏感数据不再需要使用,可以直接从代码中删除。确保在提交代码到版本控制系统之前,将敏感数据从代码中删除,以防止意外泄露。 3. 存储在后端:避免在前端存储敏感数据,尽量将其存储在后端服务器中。前端应该只负责向后端发送请求,而不是直接处理和存储敏感信息。 4. 加密:对于一些敏感数据,可以在传输过程中进行加密。使用 HTTPS 协议进行数据传输可以提供一定的数据保护。 5. 访问权限控制:确保只有有权限的用户能够访问敏感数据。在前端代码中进行访问权限控制,以防止非授权用户获取敏感信息。 需要注意的是,前端的脱敏或删除只是一种表面保护措施,真正的安全性还需要依赖后端服务器的保护。因此,在处理敏感数据时,建议综合考虑前端和后端的安全性措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值