文章总结： 本文介绍安全工具Packer-InfoFinder的更新迭代与功能取舍。作者决定放弃大而全的功能堆砌，聚焦异步JS识别还原与敏感信息检测核心能力。文章详解v1.6版改进，推荐结合BP与HAE插件的高效用法，并阐述选择独立工具而非浏览器插件的技术原因。最后提出用户即作者理念，计划建立社区共享机制积累实战特征，推动工具持续优化。 综合评分： 85 文章分类： 安全工具,WEB安全,渗透测试,实战经验

慢慢走比较快 | Packer-InfoFinder 更新与取舍

原创

TFour TFour

风岚sec

2026年3月2日 16:19 江苏

Packer-InfoFinder的更新与取舍

大家好，我是TFour，目前就职于某乙方安全公司，岗位是渗透测试工程师，兼职红队。参加过大大小小不少的攻防30+，也算小有心得。所以我想把自己想到的，思考的，经验所获得的东西写下来，于是便有了此篇。

NO.1

先说感谢。

感谢国家安全社区公众号对Packer-InfoFinder工具的认可和推荐。给了我极大的鼓舞和动力，绝不失为一篇好文章。

Webpack 前端攻防：打包机制下的敏感信息泄露与逻辑漏洞挖掘

除了国家安全社区之外，还发现了多个安全公众号对工具的推荐和文章的引用，感谢！

Packer-Fuzzer升级版工具，必备！！

可深度抓取网站JS文件的工具 Packer-InfoFinder

在工具的具体使用效果上，从工具的第一版发布到目前已有5个半月的时间，在这段时间里也收到不少来自github、公众号后台、以及相关师傅的好评，感谢！

第四个感谢写给正在看文章的你们，截止目前，工具已在github上获取了182的star,相关公众号的文章也获得了我认为不错的数据。感谢你们！

NO.2

更新与取舍。

不知不觉工具的更新迭代到了1.6版本，虽然目前还没发布(就这几天)。在人手ai的时代，本以为会让工具的开发和更新变得更加的容易，如今看来非但没有变得轻松反而更加的累了(感觉自己无所不能，却又无所能)。

在更新工具的过程中逐渐陷入了一种迷茫，我下一步该更新一些什么？我列了一个清单，密密麻麻写满了很多想实现的功能，写到最后只剩下了密密麻麻。

后来在刷视频，刷到了我很喜欢的一个博主影视飓风Tim在面临公司的特殊时刻他父亲送给他的两句话，这两句话何尝不适用于每一个行业每一个人。

一、不可万事求全。

在项目初期规划中，曾列出几项高优先级的功能更新方向。目前市面上已有成熟工具可以满足这些场景的需求，因此相关功能暂未在本项目中落地。这些未开发的功能点，未来可能会根据实际使用场景与社区需求逐步实现，也可能因定位、维护成本等因素，永远不会在 Packer-InfoFinder 中正式上线。项目将始终聚焦核心能力，保持轻量化与稳定性，不盲目追求大而全。

1.联动jshook工具(逻辑漏洞的挖掘)

2.网站js的持续化监控

3.Headless Browser 真实动态分析模式

二、慢慢走，比较快。

我划掉了哪些密密麻麻的待开发项，把工具聚焦于它本来的 “主干”

1.异步js的识别和还原

2.敏感信息的检测

异步 JS 的世界很卷：不同项目有不同的 chunk 命名策略、hash 方式、加载时机、甚至自定义obfuscation。没有任何一套规则能一次性覆盖所有情况。不同框架（Vue/React/Angular）的异步语法差异、混淆压缩后的代码隐藏逻辑（如 eval 包裹的敏感信息）、动态渲染页面中 JS 藏数规则多变，这些问题都无法通过一次性开发解决。到最后我们能靠的就是用最笨也是最有用的方法—在实战中不断的去积累去记录去总结，这个过程会很慢，但俗话说酒因久酿而醇，技以沉淀而精，我们慢慢来！

在敏感信息检测方面，hae这款插件帮了我很大的忙，很多人会说直接用代理走hae不就好了干嘛再加一个这样的功能，但在实战中遇到hae中的正则或者我们自己总结的正则匹配不到的情况也不少，这一点从本质上出发还是积累的问题，我们也要慢慢来！

v1.5  VS  v1.6 版本对比

异步js方面

敏感信息检测方面

其实单从上述两个核心的相关内容罗列出来也能看到要积累的东西要学的东西就已经非常多了，但绝不可万事求全，在之后的更新里也会针对特定逻辑做改进，另外此次把末段次表的积累功能也去掉了，在实际的体验上更推荐大家使用CaA插件作为积累的首要生产力。

我工具的使用方法

使用最多的命令:

python Packer-InfoFinder.py -u https://xxxxx.com –browser –finder -p http://127.0.0.1:8080

首先说说 -p 参数的核心价值：在日常工作或攻防实战中，通过 -p 参数将流量代理至 Burp Suite（BP），能够针对性地积累 CaA 相关的参数、路径等关键信息，以此构建专属的 fuzz 字典(后台、文件上传等)，进一步提升实战效率至关重要。

将流量代理至 BP 后，还可借助 HAE 插件，快速检测批量站点中同步 JS 与异步 JS 里的敏感信息。在攻防场景下，只需根据站点数量、优先级灵活调整检测策略即可。

–browser 参数是我日常必开的核心参数（强烈推荐启用！），该参数能显著拓展网站 JS 代码的覆盖范围：部分站点加载的第三方 CDN 脚本、或调用的第三方 JS 文件，只有开启无头浏览器模式，才能实现 JS 资源的最大化收集。

–finder 参数同样是我持续启用的功能：通过联动 HAE 插件与工具内置的敏感信息检测规则，可最大化提升敏感信息的检测覆盖面。在敏感信息检测的规则优化上，我们刻意放宽了多数正则的匹配约束 —— 核心原则是 “宁增噪声，绝不遗漏”。此外，工具的敏感信息检测模块采用了与 HAE 一致的面板布局，支持快速浏览检测结果，使用体验非常高效。

问的比较多的问题：

为什么不把 Packer-InfoFinder 做成浏览器插件？从底层逻辑来讲，这是由工具的核心机制决定的 ——Packer-InfoFinder 的核心是 AST 解析 + Deno VM 动态执行：我们需要在独立沙箱中，安全地运行、分析并拼接那些被 Webpack/Vite 拆分的网站异步 chunk。而这套完整的沙箱执行机制，在浏览器插件的沙箱环境（包括 Content Script 或 Background Service Worker）中几乎无法落地。

具体来说，浏览器插件的沙箱受限于浏览器的安全策略与运行环境，既无法提供 Deno VM 级别的执行隔离，也难以支撑大规模 AST 解析和异步 chunk 拼接所需的计算与内存资源，这也是我们选择独立工具形态而非插件的核心原因。

NO.3

展望。

有一个理念叫用户即作者。

单靠几个人的经验和能力，永远无法穷尽前端打包场景的全部变种。工具发展到今天，我越来越坚定一个想法——Packer-InfoFinder不应该只是几个人的工具，而应该成为我们整个安全圈集体智慧的结晶。

目前在和几个师傅商讨后有一定的可行性，只不过目前公众号的用户量还没有到达一个数量，还只是在规划。

大概的想法是，开启 Discussions，并创建专用分类「异步JS特征共享」和「实战案例」，鼓励大家直接发帖

• 粘贴遇到的异步加载片段（webpack_require.e、import()、createElement(‘script’) 等任意形式）

• 附上目标站点特征（脱敏后）、加载时机、混淆特点

• 说明对挖洞/资产发现的实际帮助

• 团队成员以及大家一起来Review，每一条有价值的贡献都会被记录并优先集成。

你的 snippet → 我/社区 Review → 集成到 AST/Deno VM 识别引擎或敏感信息规则库 → 新版本发布时标注“感谢 @你的GitHubID 贡献” → 你成为工具的共同作者，也会在工具执行时直接输出你的id。

说了这么多，有思考、有取舍、有坚持，也有尚未完成的展望。最后的最后用我很喜欢的一个动漫《剑来》中的语录来收尾吧。

“有些事情，想是想不明白的，莫怕，且前行，且慢行，有错就改，无错求更好，对了求最对，万般功夫，所有学问，还不是落在一个‘行’字上？”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：风岚sec TFour TFour《慢慢走比较快 | Packer-InfoFinder 更新与取舍》