.png)
2 days ago
15 BOOK THIS SPACE FOR AD
ARTICLE AD
JavaScript adalah bahasa pemrograman populer yang digunakan untuk membuat situs web lebih interaktif. Ini berjalan di browser Anda, membuat situs web menjadi dinamis dan responsif.
Namun, para peretas dapat menyalahgunakan JavaScript untuk mengakses informasi sensitif seperti password,data pribadi,apikey, dll yang disimpan di web. peretas dapat mengumpulkan seluruh javascript file yang ada pada websites, lalu menganalisis seluruh file javascriptnya untuk mencari apakah ada kredensial, api key yang tidak sengaja di sebarkan ke publik
Untuk tetap aman, penting bagi developer untuk menganalisis javascript file yang tersimpan di websites dan tersebar secara publik, agar informasi informasi yang sensitif tidak tersebar secara publik
Step step yang akan di lakukan untuk mengumpulkan dan menemukan sensitive information:Menggunakan waybackurls untuk mengumpulkan seluruh url yang ada pada suatu websitesMengumpulkan javascript file dari hasil waybackurls yang sudah kita dapatkanMenggunakan nuclei untuk menganalisis seluruh javascript file yang sudah kita temukan dan menemukan sensitive information1.Menggunakan Waybackurls untuk mengumpulkan seluruh url
Pertama kalian harus mengumpulkan subdomain subdomain pada domain target, caranya silahkan lihat di materi sebelumnya sesudah itu kalian harus mempunyai tools waybackurls silahkan cari di github
Waybackurls command:
cat subdomain.txt | waybackurls | tee -a wayback.txt
command ini akan mengumpulkan url url yang ada di seluruh subdomain dan menyimpannya di file wayback.txt jadi jangan kaget jika waybackurls mengumpulkan sebanyak jutaan url
di gambar di atas saya sudah mengumpulkan sebanyak 326 ribu url
2.Mengumpulkan javascript file
Kedua kita akan mengumpulkan javascript file dari hasil wayback yang sudah kita dapatkan menggunakan grep
command:
cat wayback.txt | grep -iE ‘.js’| grep -iEv ‘(.jsp|.json)’ >> js.txt
Perintah ini mengambil file wayback.txt, mencari url yang mengandung file dengan extensi.js dan mengecualikan baris yang mengandung .jsp atau .json. Baris yang sesuai kemudian ditambahkan ke file lain bernama js.txt.
3.Menggunakan nuclei untuk menganalisi javascript file
Ketiga, setelah mengumpulkan javascript, saatnya untuk menganalisa seluruh javascript file yang kita temukan, dan melihat apakah kita mendapatkan kredensial, api key dll
command:
nuclei -l js.txt -t /home/kali/.local/nuclei-templates/http/exposures -o potential_secrets.txt
perintah ini menganalisa file JavaScript yang ada dalam js.txt untuk menemukan kerentanan terkait credential exposure dan menyimpan temuan tersebut dalam potential_secrets.txt.
Seperti yang kalian lihat di gambar atas, setelah menunggu beberapa menit saya telah mendapatkan firebase kredensial, database, api key dll
Segini dulu artikel kali ini, sekarang kalian sudah tau bagaimana menemukan sensitive information/information disclosure di javascript file
Bengali (Bangladesh) · 
English (United States) ·