news 2026/7/11 19:50:36

不用逐行扒源码!集成URI路径未授权抓取, JS 解析、主动 Fuzz、指纹风控等,渗透前期资产探测一站式完成

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
不用逐行扒源码!集成URI路径未授权抓取, JS 解析、主动 Fuzz、指纹风控等,渗透前期资产探测一站式完成

0x01 工具介绍

不用逐行翻阅前端源码,新版 DesJsFinder 可自动抓取页面 URI 路径与未授权接口,支持Vue识别URI抓取等、实时拦截外链及内联 JS 脚本批量提取隐藏 API。工具自带多框架识别、智能路径分类风险评级,支持一键主动 Fuzz 爆破与多请求头 Token 注入探测,搭载 16 类敏感响应指纹检测,可预览格式化响应数据,一键导出接口字典,一站式完成渗透测试前期资产搜集与漏洞初筛,开箱即用适配 Chrome 浏览器。

注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"则可能就看不到了啦!

下载地址在末尾 #渗透安全HackTwo

0x02 功能介绍

✨核心特点

被动JS分析 + 框架识别 + 主动Fuzz + 响应指纹 — 红队API挖掘利器

功能

功能说明
被动发现浏览网页时自动拦截JS资源,提取所有隐藏API路径,图标实时显示发现数量
框架识别自动识别芋道Yudao / Spring Boot / ThinkPHP / ASP.NET / Laravel / Shiro / Vue / React 等10种框架
路径分类按风险自动标注:认证鉴权 / 管理后台 / 交易支付 / 用户管理 / 数据查询
一键Fuzz框架字典 + 路径变形 + 参数组合 + 并发探测,过滤404,只留有效接口
响应指纹16种指纹自动识别:Actuator暴露、SQL报错、凭据泄露、ThinkPHP调试等
Token注入支持自定义Header,一键带Token探测所有接口
响应预览点击Fuzz结果行展开查看响应体,JSON自动格式化
导出字典一键导出命中接口或完整字典为txt文件

被动模式(自动)

打开目标站 → 插件图标实时显示API数量 → 点图标查看详情

  • 自动拦截页面所有JS文件(含内联脚本)

  • 正则提取API路径

  • 按风险等级排序(CRITICAL排最前面)

主动Fuzz

  • 点击 Fuzz 按钮

  • 插件自动生成字典(框架模板 + 路径变形 + 参数组合 + 前缀推断)

  • 并发探测每个接口,过滤404和SPA噪音

  • 点击任意结果行展开查看响应内容

带Token探测

在输入框粘贴 `Authorization: Bearer xxx`,Fuzz时所有请求自动带Token。

支持多个Header,每行一个:

Authorization: Bearer eyJhbGciOi...Cookie: JSESSIONID=abc123X-App-Id: sephora

0x03 更新介绍

加入被动JS分析 + 框架识别 + 主动Fuzz + 响应指纹

0x04 使用介绍

📦安装与使用指南

Chrome → chrome://extensions → 开启"开发者模式" → "加载已解压的扩展程序" → 选择项目文件夹 → 打开任意网站即可。

框架识别

框架识别特征字典特点
芋道Yudao/admin-api/,VITE_GLOB_API_URL_PREFIX80+ 接口(system/user/page, infra/file/upload, bpm/task/my...)
Spring BootWhitelabel Error Page,actuatoractuator完整端点 + swagger + druid
ThinkPHPthinkphp,runtime/log日志泄露 + RCE路径
ASP.NET__VIEWSTATE,IISweb.config + elmah.axd + trace.axd
Laravelcsrf-token,XSRF-TOKEN/.env + storage/logs + telescope
Vue/Reactvue,react-dom,webpackJsonp/api/v1/ /api/v2/ 常见路径

响应指纹

指纹风险示例
Actuator暴露CRITICAL{"_links":{"heapdump"...
SQL错误CRITICALSQL syntax,mysql_fetch
凭据泄露CRITICALjdbc:mysql://,mongodb://
ThinkPHP报错CRITICALThinkPHP堆栈信息
Spring错误页HIGHWhitelabel Error Page
API文档HIGHswagger,api-docs
神策DebugHIGHSensors Analytics is ready
Git泄露CRITICAL.git/HEAD

0x05 下载

《渗透安全HackTwo》回复20260710获取下载

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/11 19:50:27

企业级AI Agent平台推荐哪家?2026年六大平台横向对比与选型指南

结论:如果企业已经在使用钉钉生态,或最看重"安全可控的企业级落地",钉钉悟空是当前最优先推荐的企业级 AI Agent 平台。本文基于官方发布信息与公开报道,从任务推理、记忆、执行、安全四个维度,对比悟空、飞…

作者头像 李华
网站建设 2026/7/11 19:50:20

DH参数分离辨识法解析:姿态/位置误差模型分步求解,避免误差淹没

DH参数分离辨识法:姿态与位置误差分步标定的工程实践1. 传统标定方法的局限性与改进方向在工业机器人精度校准领域,Denavit-Hartenberg(DH)参数标定一直是提升绝对定位精度的核心环节。传统的最小二乘法虽然被广泛采用&#xff0c…

作者头像 李华
网站建设 2026/7/11 19:49:55

NEO SKY与NEO MAP技术:打造个性化毕业纪念相册的完整指南

最近在整理毕业相册时,发现很多同学都在问:如何把普通的毕业照变得更有纪念价值?传统的相册制作方式要么太模板化,要么需要专业设计技能。今天我要分享的是一个结合了地图元素的创新方案——使用NEO SKY和NEO MAP技术来制作独特的…

作者头像 李华
网站建设 2026/7/11 19:49:36

MATLAB 2019b 数据导入实战:5种文件格式读取函数对比与性能实测

MATLAB 2019b 数据导入实战:5种文件格式读取函数深度评测与优化指南在工程计算和科研分析中,数据导入往往是整个工作流程的第一步,也是最容易遭遇性能瓶颈的环节。MATLAB 2019b提供了多种数据导入函数,但不同函数在速度、内存占用…

作者头像 李华
网站建设 2026/7/11 19:48:34

FastAPI python web开发- 参数校验(PathQueryField)

大家好,我是Java1234_小锋老师,最近更新《2027版 一天学会 FastAPI Python web开发 视频教程(无废话版)》专辑,感谢大家支持。 本课程主要介绍和讲解FastAPI简介,HelloWorld实现,自动生成交互式API文档,路…

作者头像 李华