Mr-White1/VenomJS

## ⚡ 什么是 JSXRay？ JSXRay 是一款面向 Bug 赏金猎人和渗透测试人员的超高级机密扫描器。它扫描 JavaScript 文件、API endpoint 和网页以查找暴露的机密信息 —— **并且比任何其他工具更进一步，还能分析图像文件** 中的隐藏凭据。 像 **SecretFinder**、**LinkFinder** 和 **JSFinder** 这样的工具仅扫描 JS 内容。JSXRay v2.0 增加了它们都没有的功能： ## 🆚 JSXRay v2.0 与其他所有工具的对比 | 能力 | SecretFinder | LinkFinder | JSFinder | **JSXRay v2.0** | |---|:---:|:---:|:---:|:---:| | JS 机密扫描 | ✅ | ✅ | ✅ | ✅ | | 批量 URL 输入 | ❌ | ❌ | ✅ | ✅ | | Chromium 无头浏览器 (SPA 支持) | ❌ | ❌ | ❌ | ✅ | | **图像 EXIF 元数据机密提取** | ❌ | ❌ | ❌ | **✅** | | **PNG 文本块分析** | ❌ | ❌ | ❌ | **✅** | | **JPEG 注释标记解析** | ❌ | ❌ | ❌ | **✅** | | **LSB 隐写术检测** | ❌ | ❌ | ❌ | **✅** | | **从图像中进行二进制字符串提取** | ❌ | ❌ | ❌ | **✅** | | **SVG 内联脚本扫描** | ❌ | ❌ | ❌ | **✅** | | **图像 URL 查询参数机密** | ❌ | ❌ | ❌ | **✅** | | Shannon 熵（未知机密） | ❌ | ❌ | ❌ | ✅ | | 反混淆 (atob / fromCharCode / hex) | ❌ | ❌ | ❌ | ✅ | | Source map 恢复 | ❌ | ❌ | ❌ | ✅ | | 实时 API 密钥验证 | ❌ | ❌ | ❌ | ✅ | | Nuclei 集成 | ❌ | ❌ | ❌ | ✅ | | GraphQL / IDOR / CVE 检查 | ❌ | ❌ | ❌ | ✅ | | HTML + JSON + CSV 报告 | ❌ | ❌ | ❌ | ✅ | | **110+ 机密模式** | ~30 | ~10 | ~20 | **✅ 110+** | ## 🔍 模块 ### 模块 1 — Chromium 无头浏览器 使用 **Playwright** 启动一个真实的 Chromium 浏览器，该浏览器： - 渲染完整的 React/Vue/Angular/Next.js SPA - 实时拦截所有网络请求 - 提取静态扫描器遗漏的延迟加载 JS 文件 - 捕获 DOM 图像 URL，包括 CSS `background-image` 值 - 返回渲染后的 HTML 以进行机密扫描 ### 模块 2 — 图像机密分析 *(其他工具均未覆盖的空白)* 当 JS 文件或页面引用图像 URL（`.png`, `.jpg`, `.svg`, `.webp` 等）时，JSXRay 会通过 9 种子技术下载并分析每张图像： | # | 技术 | 发现内容 | |---|---|---| | 1 | **URL 查询参数** | 图像请求 URL 中的 `?token=sk_live_xxx`, `?key=AKIA...` | | 2 | **EXIF 元数据** | Author, Comment, Description EXIF 字段中的 API 密钥 | | 3 | **PNG 文本块** | `tEXt`, `iTXt`, `zTXt` PNG 元数据块中的机密 | | 4 | **JPEG 注释标记** | JPEG `0xFFFE` 注释段中的隐藏文本 | | 5 | **追加数据** | PNG IEND 或 JPEG EOI 标记之后的数据 | | 6 | **LSB 隐写术** | 通过 LSB 编码隐藏在像素级的数据 | | 7 | **二进制字符串** | 从图像二进制数据中提取的可读字符串 | | 8 | **SVG 脚本** | SVG 文件内的内联 `