alonebeast002/jsreaper
GitHub: alonebeast002/jsreaper
自动化JavaScript文件侦察工具,从Wayback Machine和Katana收集JS文件并扫描其中泄露的密钥、API凭证和敏感信息。
Stars: 0 | Forks: 0
JS Reaper 使用 Wayback Machine CDX API 和 Katana 爬虫从目标域名收集 JavaScript 文件,然后扫描每个文件以查找硬编码的密钥、API 密钥、令牌、数据库 URL 和暴露的端点。
## 检测覆盖范围
| 类别 | 模式 |
|----------|----------|
| 云服务 | Google API Key, AWS Access Key, AWS Secret Key, S3 Bucket, Cloudinary, Mapbox |
| 认证 | Bearer Token, Basic Auth, JWT Token, Private Key (RSA/EC/DSA/OpenSSH) |
| 服务 | GitHub Token, Slack Token, Stripe Live Key, SendGrid, Mailgun, Twilio, Telegram Bot |
| 基础设施 | Database URLs (MySQL/Postgres/MongoDB/Redis), Heroku API Key, Firebase URL, NPM Token |
| 端点 | REST API endpoints, GraphQL endpoints |
| 代码 | Passwords in JS, Secret Keys in JS, Auth Tokens in JS |
## 依赖要求
- Python 3.7+
- `curl` 在 PATH 中
- [Katana](https://github.com/projectdiscovery/katana) — 可选但推荐
```
go install github.com/projectdiscovery/katana/cmd/katana@latest
```
## 安装
```
git clone https://github.com/alonebeast002/jsreaper.git
cd jsreaper
chmod +x jsreaper.py
```
或使用安装脚本:
```
bash setup.sh
```
## 使用方法
```
# 单个域名
python3 jsreaper.py -d example.com
# 多个域名
python3 jsreaper.py -l targets.txt
# 自定义输出目录
python3 jsreaper.py -d example.com -o /path/to/output
# 交互模式
python3 jsreaper.py
```
| 标志 | 描述 |
|------|-------------|
| `-d` | 单个目标域名 |
| `-l` | 包含域名的文件,每行一个 |
| `-o` | 基础输出目录 |
## 输出
```
jsreaper_example_com_143022/
js_urls.txt — Live JS URLs
map_urls.txt — Source map URLs
*.js — Downloaded JS files
*.js.map — Downloaded source maps
report_*.json — Findings report
```
## 工作原理
1. **Wayback CDX** — 查询 Internet Archive 获取历史 JS 快照(两轮)
2. **Katana** — 使用启用的 JS 解析功能爬取实时域名,深度为 3
3. **去重** — 合并两个来源,移除重复项
4. **下载** — 获取每个文件;如果实时获取失败则回退到 Wayback 快照;剥离 Wayback 工具栏注入
5. **Source Map 探测** — 自动探测每个 JS 文件的 `filename.js.map`
6. **密钥扫描** — 运行 25+ 个正则表达式模式并进行误报过滤
## 法律声明
此工具仅用于授权的安全测试。仅在您获得明确测试许可的目标上使用。作者不对任何滥用行为负责。
## 作者
**ALONE BEAST** — [github.com/alonebeast002](https://github.com/alonebeast002)
标签:API密钥, AWS密钥, GitHub Token, Google API密钥, GraphQL端点, HTTP工具, JavaScript安全, JS文件分析, JWT检测, REST API, Secret扫描, Slack Token, WayBack Machine, 威胁情报, 密码管理, 开发者工具, 提示注入检测, 数据库凭据, 日志审计, 源代码审计, 源码扫描, 爬虫工具, 硬编码凭据, 秘密发现, 网络安全, 逆向工具, 隐私保护