APIFinderPlus：JS响应信息提取工具内测

文章预览

△△△点击上方“蓝字”关注我 们了解更多精彩 0x00 前言 虽然很久没有 发文章了，但是NOVASEC还在。 我的实 战记录没什么好写 的， 日 常就是 就 是 寻找脆弱点 |弱口令上传RCE| 捡到源码审计RCE->嘻嘻 没有弱口令 |马被杀了| 服务器关了 |管理员跑了—>不嘻嘻 没有啥特殊的技巧，不像大家的那么跌宕起伏。 所以聊聊其他的。 0x01 JS信息提取 JS信息提取一直是 个 前台信息搜集中的不可避免的话题，主要提取的数据有两个方面： 1、敏感的信息 2、URL|URI路径 我比较习惯使用@Key大佬的 HAE插件 进行敏感信息的提取，并且HAE的URL｜URI提取规则，目前也非常完善。 https: //github.com/gh0stkey/HaE 缺点就是HAE提取的路径还需要自己拼接进行测试，比较繁琐。 其他的路径提取工具要么就是只进行PATH提取功能、要么就是拼接方式过于粗糙（笛卡尔积）拼接。 因此，一 ………………………………