Ralffotografo/BurpJSReconRadar

# 🔎 BurpJSReconRadar - 快速发现隐藏的 JS 敏感信息 [](https://github.com/Ralffotografo/BurpJSReconRadar) ## 🧭 BurpJSReconRadar 的功能 BurpJSReconRadar 是一款 Burp Suite 扩展，可实时检查 HTTP 响应中有价值的 JavaScript 线索。当您在 Burp Suite 中浏览网站时，它会查找密钥、API token、endpoint 以及薄弱的配置。 它可以帮助您发现： - JavaScript 文件中的敏感值 - API 密钥和访问令牌 - 隐藏的 endpoint 和路径 - Web 响应中的错误配置 - 被动流量中常见的侦察线索 它在后台运行，因此您无需运行单独的扫描。 ## 💻 前提条件 在开始之前，请确保您具备以下条件： - 一台 Windows 电脑 - 已安装 Burp Suite - 正常工作的网络连接 - 获得在 Burp Suite 中测试目标网站的授权 BurpJSReconRadar 专为 Burp Suite 内部的被动检查而设计。它最适合 Windows 上的普通桌面环境。 ## 📥 下载 访问此页面下载 BurpJSReconRadar： [https://github.com/Ralffotografo/BurpJSReconRadar](https://github.com/Ralffotografo/BurpJSReconRadar) 在该页面上，查找最新的 release、源文件或构建文件。下载与以下安装步骤相匹配的文件。 ## 🛠️ 在 Windows 上安装 请按照以下步骤使其在 Windows 上运行： 1. 打开上面的下载页面。 2. 下载 BurpJSReconRadar 文件或 release 包。 3. 如果文件位于 ZIP 文件夹中，请右键单击并选择“解压全部”。 4. 打开 Burp Suite。 5. 转到 Burp Suite 中的 Extender 区域。 6. 打开 Extensions 选项卡。 7. 添加 BurpJSReconRadar 文件或从解压后的文件夹中加载扩展。 8. 等待 Burp Suite 完成加载。 如果 Burp Suite 询问文件类型，请从下载包中选择该扩展文件。 ## ⚙️ 使用方法 安装扩展后，保持 Burp Suite 打开，并通过它浏览流量。 1. 通过 Burp Suite 打开您的浏览器。 2. 访问您想要测试的站点。 3. 让 Burp 被动地检查响应。 4. 查看扩展输出中的匹配项。 5. 检查它发现的任何密钥、endpoint 或配置问题。 您无需启动手动扫描即可使扩展工作。它会监控 Burp 已经看到的流量。 ## 🔍 它能查找什么 BurpJSReconRadar 会检查大量的 JavaScript 和响应模式，例如： - API 密钥 - Secret token - 私有 endpoint - 云服务密钥 - Webhook URL - Auth 数据 - 可疑的配置值 - Debug 或测试设置 - 硬编码的凭证 - 公开暴露的 JS 引用 它使用了庞大的规则集，因此可以快速捕获许多常见的侦察线索。 ## 🧪 最佳使用场景 在以下情况时，请使用 BurpJSReconRadar： - 审查 JavaScript 文件中的敏感信息 - 查找隐藏的 API 路由 - 检查薄弱的应用配置 - 查找暴露的服务数据 - 辅助 Bug Bounty 侦察工作 - 在测试期间检查被动的 HTTP 响应 它在早期侦察期间非常有效，适合在深入测试之前快速获取线索。 ## 📁 典型设置流程 简单的 Windows 设置通常如下所示： 1. 从 GitHub 下载项目。 2. 如果需要，解压文件。 3. 启动 Burp Suite。 4. 加载扩展。 5. 在链接到 Burp 的浏览器中打开目标站点。 6. 在 Burp 中查看结果。 如果项目包含编译后的文件，请加载该文件。如果包含源文件，请使用 Burp 支持的扩展加载选项。 ## 🖥️ Windows 提示 如果 Burp Suite 最初未能加载扩展，请检查以下几点： - 确保文件已下载完毕 - 确保您已解压 ZIP 文件 - 确保 Burp Suite 可以访问该文件路径 - 确保您从包中选择了正确的文件 - 加载扩展后重启 Burp Suite 请使用简单的文件夹路径，例如： - `C:\BurpExtensions\BurpJSReconRadar\` 这会使文件更容易找到。 ## 🧰 您可能会看到的常见文件 根据 release 的不同，您可能会找到如下文件： - 编译后的扩展文件 - 源代码文件夹 - README 文件 - License 文件 - Release 包 如果您看到多个选项，请从专用于 Burp Suite 扩展加载的文件开始。 ## 🔐 安全与范围 仅在您拥有所有权或已获得测试授权的系统上使用 BurpJSReconRadar。它旨在用于授权的安全测试、Bug Bounty 任务和内部检查。 ## 📚 本项目涵盖的主题 本项目符合以下主题： - api-keys - bug-bounty - burp-extension - burp-suite - javascript - passive-scanner - penetration-testing - recon - secret-detection - security-tools ## ❓ 如果您需要帮助 如果扩展未能加载，请查看项目页面以获取： - Release 文件 - 设置说明 - 文件名 - Burp Suite 版本详情 如果项目包含 Issues 或 Discussions 功能，请使用它们来获取作者提供的最新指南。

标签：API Token提取, API密钥泄露, Burp Suite, JavaScript安全, LLM应用, Snort++, TypeScript, Web安全, Windows工具, 安全插件, 对抗攻击, 敏感信息检测, 数据可视化, 蓝队分析, 被动扫描, 隐藏端点发现