JSpector:一款以被动模式爬取和分析JS文件安全性的Burp Suite扩展
2023-12-10 09:2:34 Author: FreeBuf(查看原文) 阅读量:20 收藏

 关于JSpector 

JSpector是一款功能强大的JavaScript文件爬取工具,该工具同时也是一个Burp Suite扩展,可以帮助广大研究人员以被动模式的方式自动化爬取目标Web应用程序中的JavaScript文件,并报告其中存在安全问题的URL、终端节点和函数方法。

 工具要求 

由于该工具基于Python开发,因此在安装和使用JSpector之前,请在本地设备上安装并配置好Python环境,并在Burp Suite中安装好Jython。

 工具下载 

广大研究人员可以直接访问该项目的【Releases页面:https://github.com/hisxo/JSpector/releases/tag/v2.4.8】直接下载该工具的最新版本预编译代码。
除此之外,我们还可以使用下列命令将该项目源码直接克隆至本地:
git clone https://github.com/hisxo/JSpector.git

(向右滑动,查看更多)

 工具安装 

1、打开Burp Suite,点击“Extensions”标签页,然后点击“Installed”标签中的“Add”按钮。
2、在打开的“Extension Details”对话框中,选择“Python”作为“Extension Type”扩展类型。
3、点击“Select file”按钮,切换到项目所在目录并选择“JSpector.py”工具主脚本文件,并点击“Next”下一步按钮。
4、当弹出“JSpector extension loaded successfully”提示信息,即表示工具已安装完成,然后点击“Close”按钮关闭弹窗即可。

 工具使用 

首先,我们需要详细浏览我们需要测试的Web应用程序,在这个过程中,JSpector会自动在后台以被动模式爬取所有的JavaScript文件,同时将爬取和分析结果显示在“Dashboard”仪表盘标签页中。
拿到爬取和分析结果之后,我们可以在目标JavaScript文件上点击鼠标右键,并将所有的结果内容导出到剪切板中,其中包括URL地址、终端节点和存在安全问题的函数方法。

 工具运行截图 

 项目地址 

JSpectorhttps://github.com/hisxo/JSpector
FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651250535&idx=4&sn=9d2a6d01888e8a73710cac11574dfc67&chksm=bd1d4dec8a6ac4fa8354c960e31063d51ab1e9cb700fcec02327b167116b387962d8c2ac5b43&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh