jsleak
JavaScriptファイルやソースコード内の秘密とリンクを暴露するために設計された、使いやすいコマンドラインツールです。jsleakはLinkfinder にインスパイアされており、正規表現は複数のソースから収集されています。
機能:
- APIキー、トークン、パスワードなどのJSファイル内の秘密を発見します。
- ソースコード内のリンクを識別します。
- 完全なURL機能
- 複数のURLのスキャンのための同時処理
- URLが生きているかどうかのステータスコードをチェック
やること
- 200レスポンスでcompleteURLのシークレットをスキャンします。
- バージョンフラグを追加します。
- ローカルファイルのスキャンをサポートします。
- apkファイルのスキャンをサポートします。
- 正規表現を更新します。
- 複数のユーザーエージェントをサポートします。
インストール
古いバージョンのGolang(go 1.15、1.16)を使用している場合は、以下のコマンドを使用してjsleakをインストールしてください。
go get github.com/channyein1337/jsleak
最新バージョンのGo(1.17以降)を使用している場合は、以下のコマンドを使用してインストールしてください。
go install github.com/channyein1337/jsleak@latest
使用方法
シークレットファインダー
echo http://testphp.vulnweb.com/ | jsleak -s
リンクファインダー
echo http://testphp.vulnweb.com/ | jsleak -l
完全なURL
echo http://testphp.vulnweb.com/ | jsleak -e
ステータスチェック
echo http://testphp.vulnweb.com/ | jsleak -c 20 -k
複数のフラグを使用することもできます
echo http://testphp.vulnweb.com/ | jsleak -c 20 -l -s
URLで実行
翻訳元: https://meterpreter.org/jsleak-uncover-secrets-and-links-in-javascript-files-or-source-code/
ソース: meterpreter.org
