文章总结： 文章介绍一款基于ParamX二次开发的JavaScript参数提取工具，可自动抓取页面JS文件、提取并分类参数、生成GET/POST请求、检测SourceMap、批量验证URL有效性，结果可导出CSV并与Burp联动，适合Web测试快速收集攻击面。 综合评分： 75 文章分类： WEB安全,安全工具,渗透测试,红队

「借壳生蛋」基于JavaScript文件提取参数工具

原创

心语安全 心语安全

心语安全

2026年1月19日 16:39 湖北

【前言】

基于ParamX 二次开发，在此基础增加如下功能：

l 参数提取: 分析页面所有JS文件

l 参数分类: 按优先级和类别自动分类

l 请求生成: 支持GET/POST参数生成

l 文件管理:  JS文件列表展示和复制

l Source Map: 自动检测和下载源映射文件

l 批量测试:  对发现的URL进行有效性测试

【功能区域使用说明】

首页加载之后，需要点击分析js进行然后会生成结果

• Js文件汇总—获取到js文件进行汇总
• Source Map—查看是否有map文件下载
• All URL详情—查看提取到的URL分类及批量测试会对测试结果生成csv格式文档

• 参数筛选—查看提取到的参数，在参数前后默认增加了&及默认值1，并进行参数归类

• 提取GET参数及提取POST参数，这两者都是提取参数，只是POST会生成bady格式，GET生成列表不会归类
• 复制所有Url—提取所有URL列表

【食用技巧】

提取到的参数及url相互结合可以在burp intruder中choose an attack type模式中发挥作用。（下载使用请移步t00ls.com）

【声明】

此篇文章纯属造轮子娱乐，如果不喜欢请点击左上角。若其他人带有攻击性测试，造成后果一切自负。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：心语安全 心语安全 心语安全《「借壳生蛋」基于JavaScript文件提取参数工具》