文章总结: LoveJS是一款专为网络安全人员设计的浏览器插件,旨在自动化信息搜集。它能从网页及JS文件中提取隐藏API接口与敏感信息如密钥和邮箱。主要功能包括智能嗅探、批量URL打开、自定义目录拼接及内置记事本。该插件支持Chrome和Firefox等主流浏览器,显著提升了渗透测试前期的效率,但用户需注意合法授权与控制请求频率以避免法律风险。 综合评分: 85 文章分类: 安全工具,渗透测试,WEB安全,SRC活动
漏洞挖掘新利器:LoveJS浏览器插件,一键抓取隐藏接口与敏感信息
柠檬赏金猎人
2026年3月5日 08:19 广东
概述
LoveJS是一款专为网络安全研究员、渗透测试工程师和漏洞挖掘爱好者设计的浏览器插件。它的核心功能是自动化的信息搜集,能够智能地从当前浏览的网页及其加载的JavaScript文件中,提取出隐藏的API接口、敏感信息(如密钥、邮箱、手机号),并提供了便捷的URL批量打开与自定义测试目录功能,显著提升安全测试的工作效率。该插件支持主流的Chrome、Firefox和Edge浏览器。
技术/功能
LoveJS集成了多项实用功能,旨在辅助完成Web应用的安全评估前期信息收集工作:
- 智能信息搜集:
- 隐藏接口提取:自动分析页面网络请求和JS代码,发现未在页面明显位置暴露的API端点、URL路径。
- 敏感信息嗅探:使用正则表达式等模式匹配技术,在页面源码和JS文件中搜索邮箱地址、手机号码、各类云服务(如AWS、阿里云)的API密钥、Access Key等敏感信息。
- 高效操作工具:
- 复制接口/完整URL:一键复制发现的接口路径,或将其与当前域名(可结合自定义基础目录)拼接成完整URL,方便直接用于后续测试。
- 批量打开URL:提供粘贴板,可一次性输入多个URL并批量在新标签页中打开,适用于大规模接口探测或目录爆破后的快速验证。
- 内置记事本:一个本地存储的笔记区域,用于记录测试过程中的思路、关键信息或待办事项,数据在浏览器重启后不会丢失。
- 自定义配置:
- 自定义基础目录:用户可以预设一个基础路径(如
/api/v1/)。当使用“复制完整URL”功能时,插件会自动将该路径插入到域名和接口之间,快速构造出目标测试URL。 - 域名黑名单:可以设置不需要进行信息搜集的域名(如第三方CDN、统计代码域名),避免插件在无关页面上运行,减少干扰。
- 多浏览器支持:提供对Chrome(及基于Chromium的Edge)、Firefox的完整支持,安装方式灵活。
使用示例
假设你正在对 https://example.com 进行安全测试。
场景一:发现并测试隐藏API
- 使用浏览器访问目标网站,并打开LoveJS插件面板。
- 插件会自动扫描,并在“信息搜集”标签页下列出发现的接口,例如
/user/profile,/admin/list。 - 点击某个接口(如
/admin/list)旁的“复制完整URL”。 - 如果你在设置中配置了基础目录为
/api/,则剪贴板中会得到https://example.com/api/admin/list。 - 你可以直接将此URL粘贴到浏览器地址栏或Burp Suite等工具中进行访问测试。
场景二:批量验证潜在路径
- 你通过字典爆破发现了一批可能存在但状态码为403或404的路径,如
/backup/,/config.json。 - 将这些路径整理成完整URL列表,粘贴到LoveJS的“批量打开URL”输入框中(每行一个URL)。
https://example.com/backup/
https://example.com/config.json
https://example.com/.git/HEAD
- 点击“打开选中URL”,插件会自动在后台标签页中打开这些链接,你可以快速浏览哪些页面实际可访问或暴露了信息。
场景三:收集敏感信息
- 浏览目标网站的多个页面,特别是包含大量JavaScript的“管理后台”或“用户中心”。
- 在LoveJS的“信息搜集”结果中,切换到“敏感信息”视图。
- 插件可能会显示出在JS文件中硬编码的邮箱(如
[email protected])、甚至是泄露的OSS访问密钥片段。 - 利用这些信息进行进一步的漏洞利用或社会工程学评估。
注意事项
- 合法授权:务必仅在拥有明确书面授权的前提下,对目标网站使用此类信息搜集与测试工具。未经授权的测试属于违法行为。
- 控制请求频率:使用“批量打开URL”功能时,不宜一次性打开过多标签页(建议不超过50个),以免浏览器卡死或对目标服务器造成拒绝服务(DoS)影响。
- 信息误报:敏感信息搜集功能基于模式匹配,可能存在误报(如将随机字符串匹配为密钥),需要人工复核。
- Firefox安装:Firefox版本需从其官方插件商店安装,不支持直接加载本地解压包,这是Firefox的安全策略要求。
- 插件更新:关注项目的GitHub发布页,及时更新以获得新功能和BUG修复。
参考链接
- LoveJS GitHub项目主页:https://github.com/n0name-X/LoveJS
- Firefox插件商店地址:https://addons.mozilla.org/zh-CN/firefox/addon/lovejs/
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:柠檬赏金猎人 《漏洞挖掘新利器:LoveJS浏览器插件,一键抓取隐藏接口与敏感信息》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论