文章总结： LoveJS是一款浏览器安全插件，支持Chrome/Firefox/Edge平台，可自动提取页面及JS文件中的API接口和敏感信息（邮箱、手机号、云密钥等）。该工具提供批量URL打开、自定义基础目录、本地记事本等功能，主要面向渗透测试工程师和前端安全研究人员，旨在提升接口测试与漏洞挖掘效率。项目基于浏览器扩展API实现，采用本地存储保障数据隐私。 综合评分： 78 文章分类： 渗透测试,WEB安全,安全工具,漏洞分析,应用安全

一键提取 API 与敏感信息：隐藏接口挖掘利器

原创

0x八月 0x八月

0x八月

2026年4月10日 23:11 陕西

在小说阅读器读本章

去阅读

一键提取 API 与敏感信息：隐藏接口挖掘利器

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

  LoveJS 是一款浏览器安全插件，支持 Chrome/Firefox/Edge 三大平台，可自动提取页面及 JS 文件中的 API 接口、敏感信息（邮箱、手机号、云 Key 等），提供批量 URL 打开、基础目录自定义、本地记事本等辅助功能，面向前端安全研究员与渗透测试工程师，提升接口测试与漏洞挖掘效率。

🚀 一句话优势

一键提取页面所有隐藏接口，支持 敏感信息自动识别与批量 URL 测试，浏览器原生即开即用。

📋 核心能力速览

| 功能 | 说明 | | — | — | | 接口提取 | 自动提取页面和 JS 中的 API 端点 | | 敏感信息 | 识别邮箱、手机号、云 Key 等 | | 批量打开 | 支持多 URL 批量打开（防卡顿设计） | | 基础目录 | 自定义接口前缀（如 /api/） | | 本地记事 | 渗透笔记本地持久化存储 | | 域名黑名单 | 指定域名跳过处理 |

📸 运行截图

| 功能模块 | 截图占位 | | — | — | | 接口提取结果页 | | | 批量打开 URL 界面 | | | 记事本 | | | 自定义基础目录和域名黑名单 | |

✨ 核心亮点

1. 前后端接口自动发现

  自动解析当前页面及引用的 JavaScript 文件，提取其中隐藏的 API 端点、路由路径、请求方法等信息。相比手动审查 JS 代码，效率提升数十倍，特别适合前后端分离架构的 Web 应用。提取结果支持仅复制接口路径或复制完整 URL两种模式，方便导入 手动批量打开 或Burp Suite进行进一步测试。

2. 敏感信息智能识别

  内置正则匹配规则，自动识别页面源码及 JS 中的 邮箱地址、手机号码、云服务商 AccessKey（阿里云、腾讯云、AWS 等）、JWT Token、内部 IP 地址等敏感数据。发现潜在信息泄露风险，帮助研究员快速定位配置错误或硬编码凭证问题。

3. 渗透测试工作流整合

  提供本地记事本功能，笔记内容自动保存至浏览器本地存储，刷新或重启不丢失，方便记录测试过程中的关键发现。支持批量打开 URL（建议分批操作防卡顿），结合自定义基础目录功能（如统一添加 /api/ 前缀），实现接口快速fuzz与权限绕过测试。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | 浏览器扩展 API | Chrome/Firefox/Edge 原生支持 | 跨平台兼容，即装即用 | | 本地存储 | IndexedDB/LocalStorage | 数据隐私，不上传云端 | | 正则匹配引擎 | 多模式敏感信息识别 | 快速发现泄露风险 | | 内容脚本注入 | 页面级 DOM 与 JS 分析 | 深度提取动态生成接口 | | 轻量级设计 | 纯前端实现，无后端依赖 | 体积小巧，响应迅速 |

📖 使用指南

① 准备工作：从 GitHub 下载插件压缩包并解压，Chrome/Edge 进入扩展管理页开启开发者模式，点击加载已解压的扩展程序选择文件夹。Firefox 用户直接访问插件商店搜索 LoveJS 安装。

② 核心操作：访问目标网站后点击插件图标，信息搜集页自动显示提取的接口列表与敏感信息。点击复制完整URL可自定义基础目录（如 /api/），系统会自动拼接域名与接口路径。在批量打开URL页粘贴目标地址（建议先放入记事本分批处理），一键打开多个标签页进行测试。

③ 结果查看：提取的接口与敏感信息直接展示在插件弹窗中，记事本内容自动保存至本地。域名黑名单可在设置中配置，避免对非目标站点执行分析。

📖 项目地址

https://github.com/n0name-X/LoveJS

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

⚠️打广告的勿进，会直接踢掉！！！

| | | | — | — | | | |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0x八月 0x八月《一键提取 API 与敏感信息：隐藏接口挖掘利器》