文章总结: JSAPIscan是一款基于Go语言开发的JavaScript文件分析工具,专为红队测试设计,可自动提取JS文件中的API接口路径,支持Webpack、Vue、React等框架。工具具备多线程扫描、未授权访问检测、自动生成CSV报告等功能,提供单URL/批量扫描模式,支持代理设置和自定义匹配字段。文档包含详细参数说明和使用示例,强调需在授权测试环境下使用。 综合评分: 82 文章分类: 红队,安全工具,WEB安全,渗透测试,漏洞分析
红队快速扫描js文件检查工具——JSAPIscan
风铃Sec
2026年4月12日 22:23 福建
在小说阅读器读本章
去阅读
声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!出于对安全考量本公众号发布的所有文章中的工具均建议放在虚拟机中运行!【无需回复关键字,文中第二部分0x02获取工具】
0x01 工具简介
JSAPIscan 是一款基于 Go 语言开发的 JavaScript 文件分析和接口扫描工具,专为从 JavaScript 文件中提取 API 接口信息而设计,适用于安全研究场景。
核心功能特性
-
🎯 自动 API 提取
自动解析 JavaScript 文件,提取 API 接口路径
-
⚡ 框架支持
支持 Webpack、Vue、React 等主流前端框架的 JS 文件解析
-
🚀 多线程扫描
多线程快速扫描,支持自定义线程数和深度
-
🛡️ 安全检测
检测未授权访问漏洞
-
📊 自动生成报告
自动生成 CSV 格式的详细日志
-
🔗 灵活扫描
支持单 URL 扫描、批量 URL 扫描、自动探测等
-
💾 自动存储
自动将扫描结果存储到 res/ 目录下
0x02 工具获取
夸克「LeakDetector」
链接:「JSAPIscan」
链接:https://pan.quark.cn/s/3ce3416bc2ff
0x03 工具使用
基础用法
# 扫描单个 URL
JSAPIscan.exe -u https://example.com
# 批量扫描 URL 文件
JSAPIscan.exe -f urls.txt
# 多线程扫描并设置深度
JSAPIscan.exe -u https://example.com -t 20 -d 5
高级用法
# 开启自动接口探测(未授权访问检测)
JSAPIscan.exe -u https://example.com -auto
# 携带参数进行测试(用于接口参数探测)
JSAPIscan.exe -u https://example.com -auto -aparms
# 配合 POC(Proof of Concept)检测
JSAPIscan.exe -u https://example.com -auto -aparms -apoc
# 批量扫描并开启自动探测
JSAPIscan.exe -f urls.txt -auto -t 15 -d 4
参数说明
| 参数 | 说明 | 默认值 | 示例 |
| — | — | — | — |
| -u | 目标 URL | – | -u https://example.com |
| -f | URL 文件路径 | – | -f urls.txt |
| -t | 线程数 | 10 | -t 20 |
| -d | 获取深度 | 3 | -d 5 |
| -auto | 开启自动接口探测 | false | -auto |
| -aparms | 携带参数进行测试 | false | -aparms |
| -apoc | 配合 POC 检测 | false | -apoc |
| -h | 显示帮助信息 | false | -h |
| -sc | 打印状态码(不打印状态码) | “” | -sc |
| -o | 输出文件格式 | “txt” | txt/html |
| -k | 只看关键信息 | false | -k |
| -p | 设置代理 | – | -p http://127.0.0.1:8080 |
| -pa | 只对未授权接口使用代理 | false | -pa |
| -gjca | 在原字段基础上增加匹配字段 | “” | -gjca /upload,admin |
| -gjc | 只使用指定字段进行匹配 | “” | -gjc /upload |
扫描结果结构
工具会在 res/ 目录下自动创建时间戳文件夹,保存扫描结果:
res/
└── 扫描时间戳/
├── 目标 URL.txt # 主要扫描目标
├── api_scan_domain.csv # API 扫描 CSV 报告
├── findsometingzong.txt # 发现内容汇总
├── parms.txt # 参数信息
└── bug.txt # 漏洞 URL 文件
新增功能说明(v0.29.3)
代理设置 (-p):
-p http://127.0.0.1:8080
只对未授权接口使用代理 (-pa): 配合 -auto 参数使用,只对检测未授权访问的接口使用代理。
自定义匹配字段 (-gjca):
-gjca "login,admin"
在原默认匹配字段基础上增加 “login” 和 “admin”。
只使用指定字段 (-gjc):
-gjc "api,config"
工具只匹配包含 “api” 和 “config” 的路径。
版本更新亮点
| 版本 | 更新内容 | | — | — | | v0.29.3 | 新增代理设置、自定义匹配字段功能 | | v0.29 | 简单 SQL 注入检测、路径优化 | | v0.28 | 添加关键字查找、HTML 输出格式 | | v0.27 | 添加图片 hash、title 显示、路径匹配优化 | | v0.6 | Webpack 优化 |
0x04 资源分享
夸克网盘「综合漏洞自检测工具」
链接:https://pan.quark.cn/s/302256a9ecf6
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:风铃Sec 《红队快速扫描js文件检查工具——JSAPIscan》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论