1-简介

​ 注意: 该软件非开源软件,请自行掂量.

​ 一个go语言开发的js文件发现和接口扫描工具,专门用于从JavaScript文件中提取API接口信息并进行安全测试。

2-功能特性

  • 🔍 智能API发现: 自动从JavaScript文件中提取API端点路径
  • 📱 多框架支持: 支持Webpack、Vue、React等现代前端框架的JS文件解析
  • 🚀 高性能扫描: 多线程并发处理,支持自定义线程数
  • 🛡️ 安全测试: 内置未授权访问测试和POC验证功能(POC预计0.3开放)
  • 📊 智能输出: 自动生成CSV报告和详细日志
  • 🔧 灵活配置: 支持批量URL扫描、自定义深度等
  • 📁 自动管理: 自动创建时间戳文件夹,结果分类存储

3-下载安装

​ 浏览器访问:https://pan.quark.cn/s/67b7123b8cbf

​ 此链接包含Windows\Linux 双版本,下载后可直接进行使用.

4-使用教程

4.1 Linux 使用教程

1
.\JSAPIscan_linux -h # 查看帮助

4.2 Windows 使用教程

1
JSAPIscan_windows.exe -h #查看帮助

4.2.1 用法详情

1
2
JSAPIscan_windows.exe -u https://www.baidu.com 
# 扫描单个url

1
JSAPIscan_windows.exe -f urls.txt  # 批量扫描URL  urls.txt里面包含多个url,一行一个

1
JSAPIscan_windows.exe -u https://www.baidu.com -t 20 -d 5  # 设置线程数和爬取深度

4.2.2 其他用法

1
JSAPIscan.exe -u https://example.com -auto # 启用自动接口测试(-auto 是未授权访问检测 不加只会爬取)
1
JSAPIscan.exe -u https://example.com -auto -aparms # 携带参数进行测试
1
JSAPIscan.exe -u https://example.com -auto -aparms -apoc # 启用POC测试 
1
JSAPIscan.exe -f urls.txt -auto -t 15 -d 4  # 批量扫描并自动测试

4.3 参数详情

参数 说明 默认值 示例
-u 目标URL - -u https://example.com
-f URL文件路径 - -f urls.txt
-t 线程数 10 -t 20
-d 爬取深度 3 -d 5
-auto 启用自动接口测试 false -auto
-aparms 携带参数测试 false -aparms
-apoc 启用POC测试 false -apoc
-h 显示帮助信息 false -h
-sc 不显示相关状态码 “” -sc
-o 输出文件类型 “txt” txt、html
-k 只输出关键信息 false ``

5-支持的框架

  • Webpack: 自动解析chunk.js文件
  • Vue.js: 识别Vue组件中的API调用
  • React: 支持React应用的JS文件分析
  • 通用JS: 支持标准JavaScript文件解析

6- 结束语

  • 需要技术文章,记得将ycc77.com 添加到书签栏哦~
  • 需要资源,记得将yancy77.cn 添加到书签栏哦~
  • B站: 疯狂的杨CC(需要使用视频,请选择这个)
  • 抖音: 疯狂的杨CC
  • 快手: 疯狂的杨CC
  • P站: 疯狂的杨CC