文章总结: JSSS-Find是一款基于AI的JavaScript资产扫描与安全分析工具,集成DeepSeek等模型,支持递归爬取JS、sourcemap解析、Vue/React路由提取、9种参数智能识别、敏感信息发现及自动化Fuzz与漏洞检测插件,输出交互式HTML报告,适用于大规模Web安全评估。 综合评分: 85 文章分类: 安全工具,AI安全,WEB安全,漏洞分析,渗透测试
基于AI技术的JavaScript资产扫描与安全分析工具(JSSS-Find)
原创
0xSecDebug 0xSecDebug
0xSecDebug
2026年1月21日 11:03 陕西
JSSS-Find: 智能JS资产扫描与测试工具
请勿利用文章内的相关技术从事非法渗透测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具和内容均来自网络,仅做学习和记录使用,安全性自测,如有侵权请联系删除。
✨ 让JavaScript资产分析变得简单而强大 ✨
🚀 一款基于AI技术的JavaScript资产扫描与安全分析工具,专注于快速发现和评估Web应用的安全漏洞
🎯 工具概述
JSSS-Find 是一款专门用于JavaScript资产发现和安全分析的自动化工具。它通过智能爬取、深度解析和AI辅助分析,帮助安全研究人员快速识别Web应用中的潜在安全风险。
重要功能更新记录
v8.6:
v8.3: 支持解析wsdl接口并测试
v8.1: 支持解析swagger接口并测试、优化HTML报告
v8.0: 支持sock代理、支持User-Agent轮询反爬虫机制、支持vite框架提取,优化参数名提取
v7.7: -scanxfuzz(scanx接口测试) -scanxvul(scanx漏洞测试)
v7.5: -uu参数多URL扫描,以第一个URL为基准进行后续测试保证一致性,适用于前后端分离系统的测试
v7.4: -fd参数接口发现功能,启用接口发现模式,检测接口响应中的HTML/JS资源并二次爬取,适用于Vue的测试
v7.3: -det参数POC探测扫描
v7.0: 支持联动Scanx自动化接口测试与漏洞测试、新增参数智能提取寻找高价值参数名并自动fuzz
v6.5: https://mp.weixin.qq.com/s/WqRqWhd8J4khAsKJldwZeg
v6.2: api_report.html报告中新增AI上下文理解功能,深度理解JavaScript代码片段,智能推断API参数和用法
V6.0: 新增了「AI智能分析模式」,直接用AI分析复杂JS逻辑,自动构造出完整JS文件路径,告别手动拼接
V5.0: https://mp.weixin.qq.com/s/AVyjVG0PZfZ5n-Ddv__q1g
工具使用
核心优势
| 特性 | 说明 | | — | — | | 🤖 AI驱动 | 集成DeepSeek等AI模型,智能推断接口参数和安全风险 | | ⚡ 高效扫描 | 多线程并发处理,支持大规模资产快速扫描 | | 🎨 可视化报告 | 精美的HTML报告,支持交互式分析和数据导出 | | 🔧 灵活配置 | YAML配置文件,支持自定义扫描策略和测试规则 | | 📊 多维度分析 | 接口提取、参数识别、敏感信息发现、漏洞检测 |
⭐ 核心特性
1. 全面的资产发现
┌─────────────────────────────────────────────────────────┐
│ JS文件爬取 │
│ ├─ 递归抓取所有JS资源 │
│ ├─ 支持sourcemap解析 │
│ ├─ 智能去重和过滤 │
│ └─ 多线程并发下载 │
└─────────────────────────────────────────────────────────┘
2. 智能接口提取
- ✅ 正则模式:精准匹配各种API路径格式
- ✅ Vue路由:自动识别Vue Router配置
- ✅ React路由:支持React Router解析
- ✅ RESTful API:识别标准RESTful接口
- ✅ GraphQL:支持GraphQL endpoint发现
3. 敏感信息识别
📌 支持识别的敏感信息类型:
├─ API密钥 (AWS/阿里云/腾讯云等)
├─ 数据库凭证
├─ 内网IP地址
├─ 邮箱和手机号
├─ 身份证号
├─ JWT Token
└─ 私钥和证书
4. 参数智能提取 🔥
支持9种JavaScript参数提取场景:
| 场景 | 示例 | 提取能力 |
| — | — | — |
| 对象属性 | const user = { userId: 123 } | ✅ userId |
| 解构赋值 | const {id, name} = user | ✅ id, name |
| 嵌套解构 | const {profile: {email}} = data | ✅ email, profile |
| 函数参数 | function getUser(userId, token) | ✅ userId, token |
| 变量赋值 | const apiKey = "xxx" | ✅ apiKey |
| API请求 | axios.post('/api', {name: "test"}) | ✅ name |
| URL参数 | /api?page=1&size=10 | ✅ page, size |
| 配置对象 | config: { timeout: 5000 } | ✅ timeout |
| 路由参数 | /user/:userId/profile | ✅ userId |
5. 自动化Fuzz测试
- HTTP方法测试(GET/POST/PUT/DELETE/PATCH/HEAD/OPTIONS)
- 参数化请求(自动填充参数)
- 深度Fuzz(路径组合测试)
- 403/401绕过测试
6. 漏洞检测插件
- 🔓 未授权访问检测
- 💉 SQL注入检测
- 🐚 命令执行检测
- 📜 XSS检测
- 📂 路径遍历检测
- 🔍 敏感文件检测
📖 项目地址
https://github.com/kk12-30/JSSS-Find/tree/main
💻 威胁情报推送群
如果师傅们想要第一时间获取到最新的威胁情报,可以添加下面我创建的钉钉漏洞威胁情报群,便于师傅们可以及时获取最新的IOC。
如果师傅们想要获取网络安全相关知识内容,可以添加下面我创建的网络安全全栈知识库,便于师傅们的学习和使用:
覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SOC、溯源、钓鱼、区块链等 方向,内容还在持续整理中……。
点分享
点收藏
点在看
点点赞
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:0xSecDebug 0xSecDebug 0xSecDebug《基于AI技术的JavaScript资产扫描与安全分析工具(JSSS-Find)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论