文章总结： 本文介绍了JSHunter工具，一款用于自动化下载Webpack打包的JavaScript异步chunk文件并扫描其中敏感信息的工具。它通过分析入口文件中的chunk映射表，智能识别所有chunk的URL，下载后进行全面敏感信息检测，最终生成Excel报告，旨在帮助安全研究人员高效挖掘Web应用中的漏洞。 综合评分： 78 文章分类： 安全工具,WEB安全,渗透测试

JSHunter助你挖掘JS中的漏洞”宝矿”

原创

锐鉴安全 锐鉴安全

锐鉴安全

2026年2月25日 07:02 广东

WEN3o75

书站的未授权漏洞，忆校园青春阅edu证书站的未授权漏洞，忆校园青春

点击蓝字 关注我  共筑信息安全



免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

1

背景

本次实战的案例，源于某高校的人脸采集系统，听着都感觉危害很大，因为全是敏感信息，如身份证、人脸等，拿到就是高危漏洞。从无账号到登录系统，靠的就是fuzz，详细的过程见实战过程。

2

实战过程

通过一系列的信息收集，高校的人脸采集系统引起了作者注意，为什么？因为有敏感信息。

连Hunter、Fofa都没索引到这个系统，作者靠灯塔拿到了，灯塔确实好使，关键还免费，需要的师傅可以文末获取下载链接！

系统的首页如下图，可以看到，只用一个登录按钮。



看下findsomething，也没有找到“注册”功能相关的关键字，同时也跑了下接口，并无接口未授权问题。



本次案例的关键操作来了，首先抓包观察下登录系统的数据包情况，随意输入账号密码，点击登录。



可以看到登录的数据包中有个login关键字，秉着试试的心态！

作者将login改为register，惊喜时刻，注册账号成功。



使用注册成功的账号登录系统。



可以看到获取到了身份凭证。



登录到了个人信息首页。



任意用户注册账号漏洞拿下，这个fuzz操作确实有点妙。都登录系统，肯定得把全量的功能测一遍，一般可以测试sql注入、越权、文件上传等漏洞。

co

点击蓝字 关注我  共筑信息安全

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息、工具等造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

1

工具概述

JSHunter 是一款用于自动化下载 Webpack 打包的 JavaScript 异步 chunk 文件，并扫描其中敏感信息（如手机号、身份证号、JWT、API 接口、账号密码等）的工具。

它通过分析入口文件（如 app.js）中的 chunk 映射表，智能识别所有chunk的URL，下载到本地后进行全面敏感信息检测，最终生成 Excel 报告。助力各位师傅高效出洞。

工作原理

• 自动提取 chunk 映射

支持多种 Webpack 打包格式，包括带引号的键、数字键、数组映射、r 函数内部对象等。

• 智能 URL 构造

根据入口文件路径自动推断基础目录，并尝试多种常见路径格式（如直接拼接、js/子目录、chunks/子目录等）。

• 敏感信息扫描

内置正则规则，可识别手机号、身份证号、JWT、URL 路径、API 接口、账号密码、Token 等。

• 并发下载与重试

使用 requests 会话管理，支持 SSL 忽略和自动重试机制，提高下载稳定性。

• 结果输出 Excel

扫描结果以结构化表格形式保存，方便查看和后续分析。

• 自定义配置

通过 JSON 配置文件灵活设置目标网站、下载目录、输出文件等参数。

使用方法

1、安装依赖包

解压缩工具包后，运行以下指令。

pip install -r requirement.txt

2、为了提升识别精准度，在在conf.json中配置以下两个选项。

"BASE_URL": "https://example.com",#目标网站的根地址，用于构造 Referer 等请求头"ENTRY_URL": "https://example.com/js/app.8d9f6a06.js",#此为js的主文件，一般以app开头，可以在加载网页后，在控制台中获取完整链接

3、运行主文件JSHunter

python JSHunter.py

4、运行完成后会在同目录下生成报告，直接打开查阅即可

功能界面

主页面

文件拉取过程

文件分析过程

完成情况

下载方式见文末。

期待您的关注

往期好文推荐

高效出洞必备浏览器插件

从微信扫描登录到账号接管，细节实战

记一次”高危”逻辑漏洞挖掘实战

记一次SRC支付漏洞实战

安服仔薅洞必备

更新|帆软、用友、泛微、蓝凌等常见OA系统综合漏洞检测工具

渗透测试集成工具

Web渗透测试综合工具

推荐一款资产“自动化”筛选工具

Jeecg-boot最新漏洞检测工具

js.map文件还原组合工具

Fuzz参数收集工具

Java漏洞专项检测工具

免密登录某后台管理系统实战

小程序渗透测试之全站用户接管

有趣的Fuzz+BucketTool工具等于双高危！

这个站”穿”了,等同于Getshell？

Edu src证书站IOT(物联网)漏洞挖掘

入交流群请扫码：

下载方式：进入下方小程序，在资源中心获取下载链接。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：锐鉴安全 锐鉴安全 锐鉴安全《JSHunter助你挖掘JS中的漏洞”宝矿”》