文章总结： 本文介绍基于开源工具WIHscan二次开发的内部版本，新增支持自定义JS敏感信息扫描规则。工具结合爬虫工具katana实现自动爬取JS文件并检测敏感信息，支持并发控制、代理设置、自定义规则文件路径等功能。文档提供具体使用命令和规则配置方法，并推广内部CTF课程和安全社区会员服务。 综合评分： 68 文章分类： WEB安全,渗透测试,安全工具,安全培训,其他

WIHscan二次开发内部版本上线，支持自定义js敏感信息扫描规则

原创

油漆工 油漆工

C4安全

2026年5月21日 17:23 江苏

在小说阅读器读本章

去阅读

前言

做 Web 安全久了，你会发现一件很现实的事：很多真正有价值的线索，它们就藏在最不起眼的前端资源里，尤其是各种 .js 文件。js中的敏感信息往往特别有用，而且经常是渗透测试中的突破口

但是问题也恰恰在这儿，JS 敏感信息扫描这件事，说简单也简单，说麻烦也麻烦，爬取js功能又得接爬虫，匹配敏感信息的规则少了，又容易遗漏敏感信息

所以我基于开源的 WIHscan 敏感信息收集工具二次开发，结合了爬虫工具katana，爬取js并识别敏感信息

功能

WIHscan依赖同目录下的katana工具进行爬取数据

工具使用命令如下：

现在 WIHscan 支持直接带 -k 走这条链路：

1. 先用 katana 去爬取网站。
2. 从爬取结果里提取 .js 资源 URL。
3. 再把这些 JS 自动交给原来的规则引擎去扫描

示例：

.\WIHscan.exe -u https://example.com -k

效果如下：

目前工具支持的功能如下：

支持并发控制，默认线程数比较高，批量扫的时候不会像老脚本那样慢吞吞
支持代理，联调 Burp 或走代理链都方便
支持超时设置
支持自定义规则文件路径，也就是说你完全可以维护自己的一套规则，而不是只有工具的默认规则
支持 debug 模式，规则报错、请求异常时，排查起来会很容易
支持结果输出到文件，默认就是 result.txt，日常输出扫描结果到文件中

js敏感信息检测的规则在config文件夹的rules.yaml中，可以自行维护：

工具已分享到内部社区当中：

内部CTF课程上线，总课程30+小时，优惠折扣中！

帮会简介

《安全渗透感知》是FreeBuf知识大陆的重量级帮会，帮会致力于漏洞POC/EXP、红队攻防实战，是系统化从基础入门到实战漏洞挖掘的教程社区，包含团队自整的挖掘注意点和案例，还包含分享的渗透经验、SRC漏洞案例、代码审计、挖洞思路等高价值资源。

内容框架（持续新增中）

目前已有「630+」小伙伴加入了帮会

加入方式目前帮会成员630+人，永久会员优惠后只需69.9元。

随着人数的增加及资源的积累，之后永久会员将涨价至99元。

有意向的师傅们可以扫码加入我们，共同进步。

如何加入帮会？→ 安卓/苹果用户可扫码使用优惠券↓↓

→ PC端用户可复制此链接到浏览器↓↓

https://wiki.freebuf.com/societyDetail?society_id=184

已加入帮会的小伙伴

可以加帮主进帮会内部交流群

请备注：帮会

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：C4安全 油漆工 油漆工《WIHscan二次开发内部版本上线，支持自定义js敏感信息扫描规则》