文章总结： 文章主要介绍了一款SRC监控系统，演示了其资产收集能力，包括基本信息、子域名、相似网站、C段资产、接口及JS文件分析等功能。作者通过案例展示了利用系统发现JS文件中敏感信息泄露的过程，旨在证明平台在挖掘漏洞方面的有效性，并附带平台注册推广及会员优惠活动，吸引用户使用。 综合评分： 55 文章分类： 安全工具,SRC活动,渗透测试,软文广告

写文章随便打开一个案例就发现了漏洞，真好玩儿！

原创

xazlsec xazlsec

信安之路

2026年3月9日 10:08 山西

今天来分享一下 SRC 监控系统关于一个网站都能看到哪些信息，在此之前，先看一下当前有效的 SRC 活动：

如果有 SRC 活动没有统计到的，欢迎公众号后台私信活动链接，我会及时更新至平台，让更多人看到。

当你已经注册了 SRC 赏金平台，每一位新用户会有 10 个积分可以解锁任意一个十积分的项目作为测试：

平台地址：http://src.xazlsec.com/（注册码：XAZLSEC 有效期至 4 月 30 日）

在解锁完项目之后，资产库中会展示所有已解锁项目的网站资产：

随便打开一个网站的详情页，我们可以看到很多相关信息，比如最基本的信息：

能够从图中看到标题、截图、指纹、服务器类型以及归属公司等等，下方不同标签下有更详细的相关联信息：

上图是主域名相关的信息，比如注册服务商、过期时间、DNS 的一些解析记录，是否泛解析等，再来看一下子域名信息标签下的内容：

子域名标签下除了关联 IP、CNAME 等基本信息外，还包含了所有相同主域下的所有子域名的解析记录，通过链接可以直接跳转查询相关资产，接下来看相似网站标签下：

相似网站是通过标题作为比对方式，统计相同公司下与当前网站标题一致的所有网站，这里的信息可以帮助我们发现 CDN、WAF 背后的真实地址，当然，也不是百分之百一样，因为会存在标题一样系统不同的情况在，接下来看 C 段端口信息：

当同 C 段扫描到端口之后，会在此处一一列出，因为有些公司是存在申请 C 段的情况，那么如果该 C 段存在一些高危端口时，也是可以作为目标资产进行测试的，上图的案例中无端口信息，是还没有扫描出数据来，随着时间的推移，数据会越来越多的，接下来看 C 段证书信息：

这里记录了与当前网站同属一个 C 段的所有 IP 上配置的证书信息和端口开放数量的统计，可以一目了然，该段是否属于该公司，接下来看 C 段网站列表：

这里统计了同属一个 C 段下的所有网站资产，经过三个 C 段信息统计，对与目标网站相关的 C 段能有个非常详细的了解，接下来看网站接口信息：

在信息收集过程中，会从网站首页和 JS 中提取 URL 接口进行保存，如果从网站中提取到接口，那么就会在这里进行展示，为了方便测试，可以使用导出 CSV 功能，一键导出，最后是 JS 信息：

图中关于 JS 拦截部分其实并非真的拦截，只是匹配到了一些固定规则，比如 jquery 这种不需要分析的 js，在测试时无需关注的通用 js 库，会在这里展示，当你点击详情时，可以看到该 js 的作用：

JS 资源列表中的 js 就是比较关键的，尤其是状态为命中关键信息的部分，这部分信息来自于规则匹配，在信息收集时制定的关键规则，比如：

其中可以看到 source map 的路径，一些用户的邮箱名，手机号等等，看着是不是非常有用，等等，我好像发现信息泄露的漏洞了，随便选了个案例，就发现了漏洞，真是太好玩儿了，还等什么，赶紧来体验吧！

对了，新加入信安之路知识星球或者续费知识星球可以获得 100 积分的赠送，还在有效期的同学也可以注册完找我领 100 积分。

平台地址：http://src.xazlsec.com/（注册码：XAZLSEC 有效期至 4 月 30 日）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安之路 xazlsec xazlsec《写文章随便打开一个案例就发现了漏洞，真好玩儿！》