众测SRC | 如何通过js搜索未授权接口
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
本文介绍了作者在挖SRC过程中发现的js接口收获,并分享了高效寻找目标网站js接口的思路和方法,使用了资产灯塔ARL插件wih和Python脚本处理数据,提供了代码示例和使用说明。
🎯
关键要点
- 作者在挖掘SRC过程中发现了js接口的敏感信息与未授权访问。
- 分享了高效寻找目标网站js接口的思路和方法。
- 使用资产灯塔ARL插件wih和Python脚本处理数据。
- 选择wih插件而非URLFinder,因为后者缺乏详细参考文档。
- wih插件的内置规则需要手动开启,且支持json格式导出。
- 编写Python脚本处理wih的json结果,拼接域名和路径并请求。
- 输出结果整合进html页面以便查看。
➡️
