iamshafayat/JSpider
GitHub: iamshafayat/JSpider
JSpider 是一款纯浏览器端的 JavaScript 爬虫与侦察工具,用于从网页源码中自动发现隐藏的 API 端点、敏感路径和硬编码密钥。
Stars: 16 | Forks: 7
# 🕷️ JSpider V2.1 - 高级 JavaScript 爬虫与 Endpoint 发现工具
` 值并将其粘贴到 **Authorization** 字段中。JSpider 会自动将其附加到所有扫描和探测请求中。
适用于 **Smart Crawler** 和 **Sensitive Path Prober** ——在扫描前点击 *Authentication / Custom Headers* 开关以展开这些字段。
## 🚫 噪声防护(智能过滤)
JSpider 会自动排除架构噪声,以专注于有价值的侦察结果:
- **静态资源**:拦截 `*.png`、`*.css`、`*.woff`、`*.svg` 等。
- **社交与分析**:过滤 LinkedIn、Facebook、Google Analytics、GTM 等。
- **已知 CDN**:忽略来自 jsDelivr、cdnjs、unpkg 等的常见库。
- **无效前缀**:排除 `data:`、`blob:`、`mailto:`、`tel:` 等。
## 🧪 使用指南
### 🕷️ Smart Crawler
1. 访问 **[https://iamshafayat.github.io/JSpider/](https://iamshafayat.github.io/JSpider/)**
2. 输入目标 URL(例如 `https://example.com`)。
3. 点击 **Scan Page** 进行快速分析,或点击 **Full Scan** 进行递归域名发现。
4. 监控 **Dashboard** 以查看 Endpoints、参数、Secrets 和文件的实时提取情况。
5. 使用 **Category Tabs** 过滤结果,并使用 **Global Search** 查找特定关键字。
6. 将你的发现 **Export**(导出)为 `.txt`、`.json`、`.csv` 或 `.md` 格式。
### 🛡️ Sensitive Path Prober
1. 从顶部菜单切换到 **Sensitive Path Prober** 标签页。
2. 输入目标域名(例如 `https://example.com`)。
3. 点击 **Check Paths** 开始探测 **500+ 关键路径**(例如 `.env`、`.git`、`phpinfo.php`)。
4. 观察 **Progress Bar** 和实时 **Status Counters**(200、403、404)。
5. 使用 **Status Filters**(Found、Forbidden、Missing)实时分析检测到的路径。
6. **高级过滤**:使用 **Include/Exclude Lengths** 输入框,根据字节大小过滤掉标准的 WAF 拦截页面(例如排除 `127, 403`)。
7. 🔗 使用 **OPEN🔗** 按钮在新标签页中即时验证 200 和 403 泄露。
## 🧰 技术栈
- **结构**:HTML5 & CSS3(高级 Glassmorphism UI)
- **逻辑**:原生 JavaScript (ES6+ / Async-Await)
- **引擎**:高精度 Regex 引擎(40 种密钥模式)
- **代理**:Cloudflare Workers(用于绕过 CORS 的轻量级代理)
## 📝 License
该项目基于 [Apache License 2.0](LICENSE) 授权。
## 👤 作者
由 [Shafayat Ahmed Alif](https://www.linkedin.com/in/iamshafayat/) 和 [Kazi Sabbir](https://www.linkedin.com/in/kazisabbir1337/) 怀着 ❤️ 为安全研究人员打造。
*欢迎随时联系或提出改进建议。*
**安全研究人员的终极客户端侦察工具。即时从任何网站提取隐藏的 API 路由、敏感参数和硬编码的密钥。**
**专为侦察而生 - 快速、轻量且 100% 纯客户端。**
[](https://iamshafayat.github.io/JSpider/)
[](LICENSE)
## 🌐 在线体验
👉 立即体验 JSpider V2.1:
**[https://iamshafayat.github.io/JSpider/](https://iamshafayat.github.io/JSpider/)**
## 🚀 重大更新 (V2.1)
JSpider V2.1 扩展了密钥检测功能,并通过更广泛的模式覆盖和增强的过滤机制完善了侦察套件。
### ✨ 核心功能:
- **敏感路径探测器**:自动检查 **500+ 关键路径**,包括 `.env`、`.git/config`、`phpinfo.php`、备份文件和云配置。具备实时响应长度过滤、即时停止控制以及对 200/403 响应的一键检查功能。
- **参数发现**:专门提取和分组 URL 参数,以识别潜在的注入点。
- **递归发现引擎**:全站爬取能力(深度 1),结合深度脚本分析来发现隐藏路由。
- **精准密钥检测**:高精度的正则表达式,支持 **40 种模式**,包括 AWS、Google Cloud、Stripe、Slack/Discord Webhooks、JWT、Telegram、Twilio 等。
- **高保真映射**:无损捕获原始文件路径和绝对 URL,保留双斜杠和复杂结构。
- **认证标头**:在登录页后进行爬取——注入 session cookie 或 Bearer token,扫描普通扫描器无法触及的已认证仪表盘、管理面板和内部工具。
- **参数仪表盘**:与 Endpoints、Secrets 和 Files 一起,对 URL 参数进行实时跟踪、过滤和排序。
## 📌 什么是 JSpider?
**JSpider** 是一款专为以下目的设计的强大安全侦察工具:
- 🔍 **Endpoint 发现**:查找隐藏路由和 API 调用。
- 🔑 **密钥检测**:自动识别 API key、token 和敏感数据。
- 🕷️ **递归爬取**:通过追踪同域链接进行更深入的发现。
- 🧩 **逆向工程**:分析客户端行为和动态 URL。
它可以提取外部 JS 文件、内联脚本和 HTML 源代码中的数据——所有过程完全在你的浏览器中瞬间完成。
## ✨ 高级功能
| 功能 | 描述 |
|------|-------------|
| 🔑 **密钥检测** | 高精度检测 40 种模式,包括 AWS、Google、Stripe、Slack/Discord Webhooks、JWT、Telegram、Twilio 等。 |
| 🕷️ **递归扫描** | 有限深度(V2.1:深度 1)的内部链接爬取。 |
| 📊 **实时统计** | 实时仪表盘,跟踪已扫描的 URL、Endpoints、参数、Secrets 和文件。 |
| 🛡️ **路径探测器** | 自动检查 500+ 路径,提供实时响应长度、状态过滤器、包含/排除长度过滤以及停止控制。 |
| 🎯 **结果过滤** | 使用全局搜索过滤器,即时将发现结果分类为 Endpoints、参数、Secrets 和文件。 |
| 🔐 **认证标头** | 爬取普通扫描器会遗漏的仪表盘面板和已认证页面。注入 session cookie 或 Bearer token 以访问受保护的 endpoint——只需粘贴你的 Cookie 或 Authorization 标头值即可。 |
| 📄 **高级导出** | 导出为 `.txt`、`.json`、`.csv` 和专业的 `.md` 报告。 |
| ✅ **100% 客户端** | 无后端、无数据泄露——在设计上高度重视隐私。 |
## 🔐 认证标头 登录页后爬取
普通扫描器无法看透登录页背后的内容。JSpider 的 **认证标头注入** 功能允许你扫描已认证的仪表盘、管理面板和内部工具——这些才是真正存在 endpoint 的地方。
**工作原理:**
- 🍪 **Cookie**:从浏览器中获取你的 session cookie(例如 `PHPSESSID=abc123; token=xyz`)并将其粘贴到 **Cookie** 字段中。JSpider 会在发送每个请求时带上它,就像一个已登录的浏览器一样。
- 🔑 **Bearer Token**:复制你的 `Authorization: Bearer 标签:Web安全, 安全助手, 实时处理, 浏览器插件, 病毒分析, 程序员工具, 系统独立性, 自定义脚本, 蓝队分析