freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用LinkFinder在JavaScript文件中查找网络节点
2023-07-06 00:49:08
所属地 广西


关于LinkFinder

LinkFinder是一款功能强大的Python脚本,在该工具的帮助下,广大研究人员可以轻松在JavaScript文件中发现和扫描网络节点及其相关参数。这样一来,渗透测试人员和漏洞猎人将能够快速在测试的目标网站伤收集新的隐藏节点了。

该工具通过使用jsbeautifier和Python以及大量正则表达式来实现其功能,这些正则表达式由四个小正则表达式组成,它们负责发现:

1、完整URL地址,例如https://example.com/*;

2、绝对URL地址或点分URL,例如/\*或../*;

3、包含至少一个/的相对URL地址;

4、不带/的相对URL地址;

该工具会将输出结果以HTML或明文文本的形式呈现,并提供了一个专门的Chrome扩展,有需要的用户可以点击【这里】获取。

工具依赖

该工具的正常运行需要使用argparse和jsbeautifier Python模块,我们可以直接使用pip来完成依赖组件的安装。

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地,并执行工具安装脚本完成LinkFinder的安装:

$ git clone https://github.com/GerbenJavado/LinkFinder.git

$ cd LinkFinder

$ python setup.py install

接下来,使用pip3命令和项目提供的requirements.txt完成工具依赖组件的安装:

$ pip3 install -r requirements.txt

Docker安装

构建Docker镜像:

docker build -t linkfinder

使用Docker运行:

docker run --rm -v $(pwd):/linkfinder/output linkfinder -i http://example.com/1.js -o /linkfinder/output/output.html

确保使用/linkfinder/output作为你的输出路径。

单元测试

工具的单元测试需要使用到pytest:

pytest test_parser.py

工具参数

短命令

长命令

命令描述

-i

--input

输入一个URL、文件或目录,目录可以使用通配符,例如'/*.js'

-o

--output

将输出结果打印到STDOUT,默认会将结果存储到HTML文件中,例如output.html

-r

--regex

使用正则表达式过滤节点,例如^/api/

-d

--domain

在分析整个域时使用,可以切换并枚举所有找到的JS文件

-b

--burp

当Burp结果文件中包含多个JS文件时,可以切换使用

-c

--cookies

向请求中添加Cookie

-h

--help

显示工具帮助信息和退出

工具运行样例

在线上JavaScript文件中查找网络节点,并将结果输出到results.html文件中:

python linkfinder.py -i https://example.com/1.js -o results.html

命令行/STDOUT输出:

python linkfinder.py -i https://example.com/1.js -o cli

分析整个域名以及相关的JS文件:

python linkfinder.py -i https://example.com -d

Burp输入:

python linkfinder.py -i burpfile -b

枚举整个文件夹中的JavaScript文件,搜索以/api/开头的网络节点,并将结果存储到results.html文件中:

python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html

工具运行截图

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

LinkFinder:【GitHub传送门

参考资料

https://github.com/beautify-web/js-beautify

https://pypi.python.org/pypi/pip

# 网站安全 # javascript # 网络扫描 # 域名安全 # 信息提取
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录