JavaScript审计

最新推荐文章于 2024-07-31 12:04:16 发布
最新推荐文章于 2024-07-31 12:04:16 发布
阅读量9.3k 收藏 29
点赞数 4
分类专栏: 前端 文章标签: JavaScript审计 bugbounty 漏洞挖掘 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/richard1230/article/details/123654867
版权

前言

Javascript (.js) 文件一般存储的是客户端代码,Javascript 文件可帮助网站执行某些功能,例如监视单击某个按钮的时间,或者当用户将鼠标移到图像上,甚至代表用户发出请求(例如检索信息)时。有时开发人员可以混淆他们的 javascript 代码,使人无法正常阅读,但是大多数类型的混淆是可以反混淆的;如果你是一个漏洞赏金猎人,你应该花一些时间从中寻找宝藏。如果运气好,可能会发现严重程度较高的漏洞。

怎么找js

第一种方法为手动找: 右键单击所在的页面并单击“查看源代码”(,然后开始在 HTML 中查找“.js” . 如果是手动,那么这是首选方法,因为您会注意到某些.js文件仅包含你所在的特定端点的代码,它可能包含你不知道的存在的新的 api 接口。

第二种方法: 如果使用的是Burp Suite专业版,在Target > sitemap下,右键点击感兴趣的站点,选择Engagement tools>Find scripts。使用此特性,你可以导出该应用程序中的所有脚本内容。

图片

图片第三种方法是: 使用英国著名白帽子tomnomnom的一个工具waybackurls:https://github.com/tomnomnom/waybackurls 这个工具的主要逻辑是可以让你在https://archive.org/web/(这个网站可以 理解为数字图书馆,你可以查找到相对应网站的所有历史网页)这个网站里面去查找某个目标网站的所有历史数据,使用方法:

webbackurls target.com | grep "\.js" | uniq |sort

使用Wayback Machine可能会导致误报,所以,在收集了JavaScript文件的url列表之后, 我们需要检查这个js文件是否真的还存在,可以使用curl快速检查服务器上的JavaScript文件的状态:

cat js_files_url_list.txt | parallel -j50 -q curl -w 'Status:%{http_code}\t Size:%{size_download}\t %{url_effective}\n' -o /dev/null -sk

图片

也可以使用其它现成的工具,例如:hakcheckurl 安装:go install github.com/hakluke/hakcheckurl@latest使用:cat lyftgalactic-js-urls.txt | hakcheckurl

图片当然还有其他的一些工具,这里简单列一下他们的链接,有兴趣的读者可以自行去研究研究:

https 😕/github.com/003random/getJS

https://github.com/jobertabma/relative-url-extractor

https://github.com/0xsha/GoLinkFinder gau - https://github.com/lc/gau

linkfinder - https://github.com/GerbenJavado/LinkFinder

getSrc - https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/getsrc.py

SecretFinder - https://github.com/m4ll0k/SecretFinder

antiburl - https://github.com/tomnomnom/hacks/tree/master/anti-burl

antiburl.py - https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/antiburl.py

ffuf - https://github.com/ffuf/ffuf

getJswords.py - https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/getjswords.py

availableForPurchase.py - https://raw.githubusercontent.com/m4ll0k/Bug-Bounty-Toolz/master/availableForPurchase.py

jsbeautify.py - https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/jsbeautify.py

collector.py - https://github.com/m4ll0k/Bug-Bounty-Toolz/blob/master/collector.py

js美化

大多数时候,我们收集的JavaScript文件都是经过压缩、混淆的。

有很多工具可以压缩JavaScript。UglifyJS是一个压缩JS代码的工具,它也可以作为npm包使用 https://github.com/mishoo/UglifyJS

图片

也有很多工具可以解压缩js。例如JS Beautifier https://github.com/beautify-web/js-beautify

图片其他的相关工具如下:

https://beautifier.io/

https://github.com/geeksonsecurity/illuminatejs

https://github.com/mindedsecurity/JStillery

https://lelinhtinh.github.io/de4js/

js文件中需要去找的关键信息

js危险函数

1.将字符串当做代码去执行的三个函数

  eval("alert(1)")
  setTimeout("alert(1)",1000)
  //就是下面这么写
  Function("alert(1)")()

2.innerHTML函数

如果你发现了这个函数,这意味着如果没有进行适当的处理,XSS 漏洞可能在向你招手,即使经过了处理,试着看能不能绕过; React中就有一个和innerHTML差不多的函数叫做dangerouslytSetInnerHTML,这个函数也是咱们的重点关注对象; 还有Angular中的bypassSecurityTrustX,还有咱们熟悉的eval函数;

3.Postmessage函数

最好先去看看它的官方文档:https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage, 一旦了解了与 postMessage 相关的可能的安全问题,就可以在 JavaScript 文件中查找实现。在消息发送方,寻找window.postMessage并在接收方寻找监听器window.addEventListener。相关资料可以查看下面两个链接:https://labs.detectify.com/2016/12/08/the-pitfalls-of-postmessage/``https://medium.com/techiepedia/what-are-sop-cors-and-ways-to-exploit-it-62a5e02100dc

4.String.prototype.search().

一些开发人员使用它来查找一个字符串在另一个字符串中的出现。然而, ”.” 在此函数中被视为通配符。具体可以看下面这个报告: https://hackerone.com/reports/129873

5.location相关的几个函数

  • location: http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2015-099935

  • location.href: http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2014-062771

  • location.pathname: http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2012-013059

6.document.cookie

这个函数也比较重要,具体不展开了,可以去看看filedescriptor 的一篇报告:

https://hackerone.com/reports/422043

7.window.name

可以具体看看下面链接:

https://xz.aliyun.com/t/6019

https://blog.appsecco.com/automating-discovery-and-exploiting-dom-client-xss-vulnerabilities-using-sboxr-part-3-2ea910dfb429

8.localStorage以及sessionStorage

https://infosecwriteups.com/stored-xss-to-organisation-takeover-6eaaa2fdcd5b https://hackerone.com/reports/297968

过时的依赖和框架

从JS 代码中查找过时的依赖项。一个字,干就完了,可以直接使用 retire.js 来扫描漏洞。可以在以下链接中找到该项目:https://retirejs.github.io/retire.js/

敏感信息

有时,开发人员会在客户端 JS 代码中留下大量信息,例如密码、API 密钥等硬编码。从 JS 代码中找到这些信息。例如,AWS 密钥正则表达式可能如下所示:

(?i)aws(.{0,20})?(?-i)['\”][0–9a-zA-Z\/+]{40}['\”]

更多可以参考: https://github.com/l4yton/RegHex https://github.com/securing/DumpsterDiver https://github.com/auth0/repo-supervisor https://github.com/trufflesecurity/truffleHog

相关的漏洞报告: https://hackerone.com/reports/991718 https://hackerone.com/reports/983331 https://hackerone.com/reports/638635

隐蔽的接口

有时,不是对接口进行模糊测试,而是从 Javascript 文件中查找隐蔽接口会更有效。这些接口可能是一些废弃的服务(开发人员有时忘记删除它)或用户不应该访问的服务(如隐蔽的API )。如果你找到了,这些隐蔽接口通常比主要的 Web 应用程序更容易受到攻击。有一些很方便的工具帮助我们从js文件中提取这些接口:https://github.com/jobertabma/relative-url-extractor https://github.com/GerbenJavado/LinkFinder https://github.com/Threezh1/JSFinder

开发人员的注释

开发人员注释(例如 // 这是一个开发评论或 /* 这是一个多行开发评论 */)有时可以包含诸如代码何时发布或发生的任何更新之类的信息(有时候还会注释关于 XSS 过滤,这有助于我了解他们如何修复它并去绕过)。如果代码是旧版本的,那么你发现问题的机会就更大;

js.map文件

还有一个比较特殊的文件,是以js.map为后缀的文件,这是jQuery中的一个新功能,支持Source Map,

非常多Webpack打包的站点都会存在js.map文件.通过还原前端代码找到API,间接性获取未授权访问漏洞,

简单说,Source map就是一个信息文件,里面储存着位置信息。转换后的代码的每一个位置,所对应的转换前的位置。

有了它,出错的时候,除错工具将直接显示原始代码,而不是转换后的代码,这无疑给开发者带来了很大方便。

相关的处理工具有:(可以使用它们将代码还原)

https://www.npmjs.com/package/restore-source-tree https://github.com/paazmaya/shuji https://www.npmjs.com/package/reverse-sourcemap https://github.com/rarecoil/unwebpack-sourcemap

在Reactjs上面读取.js文件的示例

在查看一个React.js的的网站的时候,发现一个settings.js文件: app.js是我们的重点。我们要找什么?新的端点、参数,也许还有api key。打开它时,我们会看到似乎是“乱七八糟”的东西:

图片第一步:美化。美化会将我们的代码变成可读的代码。复制代码内容并使用 Javascript 美化器,例如https://beautifier.io/

图片

现在我们的代码可读了,让我们开始寻找新的端点、参数,也许还有api key。在下面的示例(这是一个真实的网站)中,通过搜索关键字,pathname我能够找到网站上使用的所有端点,这些端点扩展了攻击面以查找错误,并开始查找有关其 API 的信息。

图片

要查找的其他常见关键字:url:, POST, api, GET, setRequestHeader, send((注意:只有一个 (,因为它在发出 Ajax 请求时使用!).headers,onreadystatechange, var {xyz} = , getParameter(), parameter, .theirdomain.com, apiKey; 除此之外,还有:postMessage, messageListenger, .innerHTML, document.write(, document.cookie, location.href, redirectUrl, window.hash;

如果是自动读取的话,可以利用上面的三个工具:

https 😕/github.com/003random/getJS

https://github.com/jobertabma/relative-url-extractor

https://github.com/0xsha/GoLinkFinder

如果js被混淆了,可以使用下面的工具:

https://lelinhtinh.github.io/de4js/

大多数类型的混淆都可以解决;

更多内容请关注公众号growing0101

参考

https://medium.com/techiepedia/javascript-code-review-guide-for-bug-bounty-hunters-c95a8aa7037a

https://www.bugbountyhunter.com/guides/?type=javascript_files

https://www.ruanyifeng.com/blog/2013/01/javascript_source_map.html

https://blog.appsecco.com/static-analysis-of-client-side-javascript-for-pen-testers-and-bug-bounty-hunters-f1cb1a5d5288

richard1230
关注
  • 4
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3. 编程规范和编程安全指南--java
踟蹰横渡口,彳亍上滩舟。
03-27 7263
目录 1 安卓类 I. 代码实现 1.1 异常捕获处理 1.2 数据泄露 1.3 webview 组件安全 1.4 传输安全 II. 配置&环境 2.1 AndroidManifest.xml 配置 2 后台类 I. 代码实现 1.1 数据持久化 1.2 文件操作 1.3 文件操作 1.4 XML读写 1.5 响应输出 1.6 OS命令执行 1.7 会话管理 1.8 加解密 1.9 查询业务 1.10 操作业务 安卓类 I. 代码实现 1.1 异常捕获...
探索JavaScript之秘:JSScanner,你的代码审计助手
gitblog_00084的博客
06-11 507
探索JavaScript之秘:JSScanner,你的代码审计助手 项目地址:https://gitcode.com/0x240x23elu/JSScanner 在网络安全和数据隐私日益重要的今天,确保JavaScript文件不含有敏感信息至关重要。JSScanner就是这样一款工具,专为扫描JS文件并检索潜在的敏感数据如令牌、密码等而设计,帮助开发者和安全专家识别潜在的安全风险。 项目介绍 JS...
hook工具_Pylama python和javascript代码审计工具
weixin_39732491的博客
11-28 259
适用于Python和JavaScript代码审计工具依赖Python(2.6、2.7、3.2、3.3)使用JavaScript检查器(gjslint),您需要安装python-gflags有pip install python-gflags。安装pip install pylama使用示例Pylama易于使用,并且在检查代码质量方面非常有趣。只需运行pylama并从所有pylama插件...
JS代码安全审查工具
最新发布
qq_47108562的博客
07-31 139
JS代码安全审查工具
代码审计 JavaScript代码理解.
网络安全领域___专研者.
04-20 3559
JavaScript 概括: JavaScript(简称 "JS")是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。虽然它是作为 开发Web页面的脚本语言而出名,但是它也被用到了很多非浏览器环境中,JavaScript基于原型编程、多范式的动态脚本语言,并且支持面向对象、命令式、声明式、函数式编程范式.
应用安全 - 代码审计 - JavaScript
weixin_30865427的博客
08-09 431
JavaScript Prototype污染 转载于:https://www.cnblogs.com/AtesetEnginner/p/11327481.html
Code-Breaking 2018 Thejs代码审计
qq_53460654的博客
02-06 1414
由于没找到环境,我这里只是为了学习这个知识点,所以找源码来分析一下 源码:https://github.com/phith0n/code-breaking/tree/master/2018/thejs const fs = require('fs') const express = require('express') const bodyParser = require('body-parser') const lodash = require('lodash') const session = requ
Python-Pylava是一个用于Python和JavaScript代码审计工具
08-11
Pylava是一个用于Python和JavaScript代码审计工具
JavaScript_自动审计性能指标和web的最佳实践.zip
05-21
通过深入理解和运用这些JavaScript性能指标以及Lighthouse等自动化审计工具,开发者可以有效地提升Web应用的性能,为用户提供更快、更流畅的浏览体验。不断学习和实践这些最佳实践,将有助于保持Web应用的竞争力。
JavaScript一个Active Directory审计工具,它利用密码查询从Bloodhound图形
05-20
JavaScript AD Miner是一个专门针对Active Directory(AD)环境进行安全审计的工具,它使用JavaScript语言编写,旨在帮助网络安全专业人员和管理员深入理解他们的AD结构,并识别潜在的安全风险。这个工具的独特之处...
电子审计
02-12
10. **教育与培训**:JavaScript也是学习电子审计知识的工具,通过编写和运行简单的脚本,审计人员可以加深对审计流程和逻辑的理解。 综上所述,JavaScript在电子审计领域的应用是多方面的,它不仅提高了审计工作的...
代码审计工具Findbugs自动检查CheckList及配置方法
07-04
代码审计工具Findbugs是一个应用比较广泛的开源代码审计工具,如果开发团队利用好了这个工具,能够很大程度上提高软件产品的安全性。而且重要的是Free。 其中介绍内容包括: Malicious code vulnerability 恶意代码 Dodgy 小问题 Bad practice 不好的习惯 Bogus random noise 无效代码 Correctness 代码的正确性 Internationalization 国际化问题 Performance 性能问题 Security 安全性问题 Multithreaded currectness 线程问题 Experrimental 实验性问题
SEAY代码审计系统下载
07-16
2. **多种编程语言支持**:由于软件开发中涉及的语言多样,SEAY系统应该支持Java、C/C++、Python、JavaScript等多种编程语言的代码审计,确保不同项目的需求都能得到满足。 3. **自定义规则**:除了内置的审计规则...
xff_referer、simple_jsjavascript代码审计+超详细脚本编写过程)
Welcome To Myon'Blog !
03-11 521
xff_referer、simple_jsjavascript代码审计+超详细脚本编写过程) X-Forwarded-For(XFF),http referer,BurpSuite抓包 , HTML代码简化结构,javascript,Python脚本编写,split函数,ASCII码
【攻防世界】九 --- NaNNaNNaNNaN-Batman---js代码审计
qq_43168364的博客
12-23 296
题目 — NaNNaNNaNNaN-Batman 一、writeup 给了一个文件,用sublime打开 这个文件甚是混乱,整理之后可得以下内容 <script> _='function $(){e=getEleById("c").value;length==16^be0f23233ace98aa$c7be9){tfls_aie}na_h0lnrg{e_0iit\'_ns=[t,n,r,i];for(o=0;o<13;++o){
一次小破站JS代码审计出XSS漏洞思路学习
ElsonHY的博客
03-22 1564
一种挖掘xss的思路
审计代码(攻防世界 web simple_js
Kni9hT's Blog
03-01 1589
可算刷到web新手区最后一题了,终于上了代码审计。 题目描述:小宁发现了一个网页,但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} ) 打开链接页面弹出一个输入密码的对话框,但是试了好几次都显示错误。 F12查看网页源代码。 function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,...
验证漏洞-审计JS文件
soldi_er的博客
03-12 682
文章目录常见的验证功能JS不完全验证导致的未授权访问疑问参考 常见的验证功能   账号密码验证、验证码验证、JavaScript数据验证、服务端数据验证等。 登录验证码和手机验证码   《利用漏洞中验证码绕过的小技巧-Freebuf》,2017-12 文章地址https://www.freebuf.com/column/156519.html   《【渗透技巧】手机验证码常见漏洞总结-腾讯云》,2019-07 文章地址https://cloud.tencent.com/developer/article/1
github-seay源代码审计系统
06-24
### 回答1: Github-Seay源代码审计系统是一种开源的、基于Web的代码审计工具,旨在帮助开发人员发现和解决安全漏洞,提高软件安全性。 该系统可以分析Java、C++、C#等多种编程语言的代码,并对其中的安全漏洞进行识别和标记,包括SQL注入、跨站脚本攻击等常见的Web安全问题。还可以自定义规则和规则集,根据自己的需求进行代码分析和漏洞检测。 Github-Seay源代码审计系统的特点包括: 1.开源免费。该系统完全开源,任何人都可以免费使用和修改源代码。 2.支持多种编程语言。可以对多种编程语言的代码进行分析,极大方便了企业的使用。 3.操作简便。系统的界面非常简单,使用起来也非常容易,减少了用户对于操作流程的了解和资质。 4.支持自定义规则。开发人员可以根据自己的需求和项目特点,自定义规则和模板,更好的定制化。 5.漏洞检测准确。该系统内置了丰富的漏洞检测规则,可以快速检测和识别代码中存在的安全问题。同时,Github-Seay持续更新漏洞库与规则,并推动维护人员第一时间修复其中的漏洞。 总的来说,Github-Seay源代码审计系统是一款非常优秀的开源安全审计工具,可以帮助开发人员协助侦测代码中的漏洞并提升软件安全性。 ### 回答2: Github-seay源代码审计系统是一套基于GitHub的源代码安全审计系统,它能够帮助用户以高效、快速、准确的方式对开源项目进行安全审计。该系统利用了GitHub上广泛的项目资源和社区力量,通过代码自动化分析和漏洞扫描等功能,对代码中的安全漏洞进行检测和修复,以帮助用户有效保护自己的项目。 该系统有以下几个主要特点:一是开源免费,且使用自由方便;二是在GitHub上进行,使得项目的审计和修复流程更加高效、方便;三是支持自动化分析和漏洞扫描,可以快速发现代码漏洞;四是利用了社区力量,形成了审核互助的积极氛围;五是提供了专业的代码审计服务,可以对用户提交的代码进行专业安全审计,以提高代码质量和安全性。 使用Github-seay源代码审计系统可以帮助用户更好地进行代码安全审计工作,尽快发现并修补代码中的漏洞,提高项目的安全性和稳定性。同时,该系统对于代码审计爱好者和安全研究人员也提供了学习和交流的平台,可以借此共同促进代码安全事业的发展。 ### 回答3: GitHub-Seay源代码审计系统是一款高效、可靠的源代码审计工具。 该系统能够对代码进行全面的检查和分析,探测出代码中的漏洞和安全隐患,提高代码的安全性和稳定性。它能够充分利用GitHub平台的资源,从源代码仓库中获取代码进行分析,并直接在GitHub上生成审计结果报告。 该系统采用模块化设计,包含语法分析器、符号执行器、数据流分析器、模式匹配器等多个模块。同时,该系统还支持多种编程语言,如Java、C++、JavaScript、Python等,能够适应不同语言的编码规范和特点。 该系统具有以下特点: 1. 高效可靠:系统采用自动化工具进行代码审计,检查范围广泛,及时反馈审计结果,有效减少人为因素干扰。 2. 多语言支持:该系统支持多种编程语言,适应不同语言的审计需求。 3. 模块化设计:该系统采用模块化设计,每个模块都具有独立的功能,协同工作有效提高代码审计效率。 4. 安全稳定:该系统能够发现和修复代码中的安全隐患,提高代码的安全性和稳定性。 总之,GitHub-Seay源代码审计系统是一款高效、可靠、安全、稳定的代码审计工具,适用于各类企业和组织的代码审计需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值