传送门:
https://github.com/InitRoot/BurpJSLinkFinder
作用就是自动爬取站点 js 文件里面的接口,url等,效果很顶。
测越权,测未授权,测注入非常方便。
笔者曾经写过一个全站url爬取的脚本,但是误报率太高了,有机会再改吧。
效果图:(测试站点)
这是原本的html页面:
只能说是比较蛋疼的站点了,接口都在js文件里,这要是手翻估计能累死,可以用用试试。
本文迁移自知识星球“火线Zone”
这个如果浏览太多的话,会超过篇幅clear按钮直接挤掉的
gdft2112 咦?这个我还没遇到过,不过可以换目标就clear一次
du1ge 嗯
