点击上方蓝字 关注【渗透测试】不迷路
📌【前言】
大家好!今天给大家介绍三款超实用最近深度体验的「被动式信息泄漏检测插件」Jsmoke、FindSomething和SnowEyes。这些工具都能帮你自动发现网站中的敏感信息泄露问题🔍,能帮你自动挖出网站里藏着的敏感数据!
这三款工具各有千秋:
🔹 适用场景:
✔️ 红队渗透测试前期侦查
✔️ 开发人员自查代码泄漏检查代码安全性
✔️ 企业安全自查
✔️ 漏洞赏金猎人快速发现漏洞
🔹 实测体验:👉 界面简洁,扫描速度飞快,还能绕过部分WAF检测!
✨ 功能亮点:
自动爬取网站并检测敏感信息
支持JS文件中的API密钥检测
能发现隐藏的目录和文件我用它扫描时就像有个小侦探在帮我找漏洞,连程序员不小心留下的测试账号都能发现!
🔧 工具一:FindSomething
🔥 特点:
✅ 自动抓取 URL、目录、API 密钥
✅ 支持 JS 文件深度解析(找隐藏漏洞绝了!)
✅ 含多种敏感信息规则(身份证、手机号、阿里云AK等)
📥 获取地址:https://github.com/momosecurity/FindSomething
❄️ 工具二:SnowEyes(雪瞳)
✨ 优化亮点:
✅ 比 FindSomething 更高效!解决加载慢、内存占用问题
✅ 动态渲染页面适配
✅ 右键一键复制检测结果(超方便!)
📥 获取地址:https://github.com/SickleSec/SnowEyes
🚬 工具三:Jsmoke
💡 核心功能:
✅ 主动扫描 JS 文件(像“黑客嗅觉仪”👃)
✅ 支持 API密钥、Token、密码 等高危信息提取
✅ 规则源自多款知名工具(HAE、APIFinder)
📥 获取地址:https://github.com/Yn8rt/Jsmoke
📢 Chrome浏览器安装(参考安装视频)
下载项目中的
.crx或.zip文件解压下载好的文件
.zip文件浏览器输入
chrome://extensions开启「开发者模式」→ 加载已解压的扩展程序 → 选择文件夹安装
点击下方名片进入公众号
回复关键字【250501】获取下载链接
该文章仅供网络安全研究使用,禁止使用该项目进行违法操作,否则自行承担后果,请各位遵守《中华人民共和国网络安全法》!!!
⚠️ 使用注意
1️⃣ 法律边界:仅限授权测试!🚫 非法用途后果自负
2️⃣ 不要狂扫网站,避免触发风控❌
3️⃣ 推荐先本地测试,再实战~
💬 小编结语
希望这篇整理对你有帮助!想获取工具链接或者学习更多安全知识,随时可以问我哦~ 💻🔐
技术交流
扫描下方二维码,并在验证信息中说明来意,文章仅供交流学习,本公众号不承担任何有关责任!
星球介绍
自研工具、二开工具、免杀工具、漏洞复现、教程等资源、漏洞挖掘分析、网络安全相关资料分享。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...